新的开源工具扫描公有 AWS S3 存储桶以查找密钥

新的开源“S3crets Scanner”扫描程序允许研究人员和红队成员搜索错误存储在公开公开或公司的Amazon AWS S3存储桶中的“机密”。

Amazon S3（简单存储服务）是一种云存储服务，公司通常使用这种服务将软件、服务和数据存储在称为存储桶的容器中。

不幸的是，公司有时无法正确保护其 S3 存储桶，从而将存储的数据公开暴露给 Internet。

这种类型的配置错误在过去会导致数据泄露，威胁行为者可以访问员工或客户详细信息、备份和其他类型的数据。

除了应用程序数据外，S3 存储桶中的源代码或配置文件还可以包含“密钥”，即身份验证密钥、访问令牌和 API 密钥。

如果这些机密被威胁行为者不当暴露和访问，它们可能会允许他们更多地访问其他服务甚至公司的公司网络。

扫描 S3 以查找机密
在一次检查世嘉近期资产风险的练习中，安全研究员Eilon Harel发现没有扫描意外数据泄露的工具，因此他决定创建自己的自动扫描仪，并将其作为开源工具发布在GitHub上。

为了帮助及时发现公有 S3 存储桶上暴露的密钥，Harel 创建了一个名为“S3crets Scanner”的 Python 工具，该工具可自动执行以下操作：

使用 CSPM 获取公有存储桶列表
通过 API 查询列出存储桶内容
检查公开的文本文件
下载相关文本文件
扫描内容以查找机密
将结果转发到 SIEM
S3crets 扫描程序执行的操作
S3crets 扫描程序执行的操作
扫描程序工具将仅列出将以下配置设置为“False”的 S3 存储桶，这意味着暴露可能是意外的：

“BlockPublicAcls”
“阻止公共政策”
“忽略公共Acls”
“限制公共桶”
在下载文本文件以进行“机密扫描”步骤之前，将从列表中筛选出任何打算公开的存储桶。

扫描存储桶时，脚本将使用 Trufflehog3 工具检查文本文件的内容，该工具是基于 Go 的机密扫描程序的改进版本，可以检查 GitHub、GitLab、文件系统和 S3 存储桶上的凭证和私钥。

Trufflehog3使用Harel设计的一组自定义规则扫描S3crets下载的文件，这些规则针对个人身份信息（PII）暴露和内部访问令牌。

当定期用于扫描组织的资产时，研究人员认为“S3crets Scanner”可以帮助公司最大限度地减少因泄露机密而导致的数据泄露或网络泄露的可能性。

最后，该工具还可用于白帽操作，例如扫描可公开访问的存储桶，并在不良行为者发现之前通知所有者暴露的机密。