AWS - S3 Post Exploitation

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

S3

Vir meer inligting kyk:

AWS - S3, Athena & Glacier Enum

Sensitiewe Inligting

Soms sal jy sensitiewe inligting in leesbare vorm in die emmers kan vind. Byvoorbeeld, terraform staat geheime.

Pivoting

Verskillende platforms kan S3 gebruik om sensitiewe bates te stoor. Byvoorbeeld, airflow kan DAGs kode daar stoor, of webbladsye kan direk vanaf S3 bedien word. 'n Aanvaller met skryftoestemmings kan die kode van die emmer verander om na ander platforms te pivot, of rekeninge oorneem deur JS-lêers te verander.

S3 Ransomware

In hierdie scenario, skep die aanvaller 'n KMS (Key Management Service) sleutel in hul eie AWS-rekening of 'n ander gekompromitteerde rekening. Hulle maak dan hierdie sleutel toeganklik vir enigiemand in die wêreld, wat enige AWS-gebruiker, rol, of rekening toelaat om voorwerpe met hierdie sleutel te versleutel. Die voorwerpe kan egter nie ontsluit word nie.

Die aanvaller identifiseer 'n teiken S3-emmer en verkry skryfvlaktoegang daartoe deur verskeie metodes te gebruik. Dit kan wees as gevolg van swak emmerkonfigurasie wat dit openlik blootstel of die aanvaller wat toegang tot die AWS-omgewing self verkry. Die aanvaller teiken gewoonlik emmers wat sensitiewe inligting soos persoonlik identifiseerbare inligting (PII), beskermde gesondheidsinligting (PHI), logboeke, rugsteune, en meer bevat.

Om te bepaal of die emmer vir ransomeerder aangeval kan word, kontroleer die aanvaller sy konfigurasie. Dit sluit in die verifikasie of S3-voorwerpversiering ingeskakel is en of multi-faktor outentifikasie verwyder (MFA verwyder) ingeskakel is. As Voorwerpversie nie ingeskakel is nie, kan die aanvaller voortgaan. As Voorwerpversie ingeskakel is maar MFA verwyder is uitgeskakel, kan die aanvaller Voorwerpversie uitskakel. As beide Voorwerpversie en MFA verwyder ingeskakel is, word dit moeiliker vir die aanvaller om daardie spesifieke emmer te ransomeer.

Met behulp van die AWS API, vervang die aanvaller elke voorwerp in die emmer met 'n versleutelde kopie met behulp van hul KMS-sleutel. Dit versleutel die data in die emmer effektief, wat dit ontoeganklik maak sonder die sleutel.

Om verdere druk by te voeg, skeduleer die aanvaller die verwydering van die KMS-sleutel wat in die aanval gebruik is. Dit gee die teiken 'n 7-dae-venster om hul data te herstel voordat die sleutel verwyder word en die data permanent verlore gaan.

Laastens kan die aanvaller 'n finale lêer oplaai, gewoonlik genaamd "ransom-note.txt," wat instruksies vir die teiken bevat oor hoe om hul lêers terug te kry. Hierdie lêer word sonder versleuteling oplaai, waarskynlik om die teiken se aandag te trek en hulle bewus te maak van die ransomeerderaanval.

Vir meer inligting kyk na die oorspronklike navorsing.

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated