AWS - S3 Post Exploitation

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

S3

Vir meer inligting, kyk:

AWS - S3, Athena & Glacier Enum

Sensitiewe Inligting

Soms sal jy in staat wees om sensitiewe inligting in leesbare vorm in die emmers te vind. Byvoorbeeld, terraform staat geheime.

Pivoting

Verskillende platforms kan S3 gebruik om sensitiewe bates te stoor. Byvoorbeeld, airflow kan DAGs kode daarin stoor, of webblaaie kan direk van S3 bedien word. 'n Aanvaller met skryfrechten kan die kode van die emmer wysig om na ander platforms te pivot of rekening te oorneem deur JS-lêers te wysig.

S3 Ransomware

In hierdie scenario, die aanvaller skep 'n KMS (Key Management Service) sleutel in hul eie AWS rekening of 'n ander gecompromitteerde rekening. Hulle maak hierdie sleutel beskikbaar vir enige iemand in die wêreld, wat enige AWS gebruiker, rol, of rekening toelaat om voorwerpe met hierdie sleutel te enkripteer. Die voorwerpe kan egter nie gedekripteer word nie.

Die aanvaller identifiseer 'n teiken S3 emmer en verkry skryfniveau toegang daartoe deur verskeie metodes. Dit kan wees as gevolg van swak emmer konfigurasie wat dit publiek blootstel of die aanvaller wat toegang tot die AWS omgewing self verkry. Die aanvaller teiken gewoonlik emmers wat sensitiewe inligting bevat soos persoonlik identifiseerbare inligting (PII), beskermde gesondheidsinligting (PHI), logs, rugsteun, en meer.

Om te bepaal of die emmer geteiken kan word vir ransomware, kyk die aanvaller na die konfigurasie daarvan. Dit sluit in om te verifieer of S3 Object Versioning geaktiveer is en of multi-factor authentication delete (MFA delete) geaktiveer is. As Object Versioning nie geaktiveer is nie, kan die aanvaller voortgaan. As Object Versioning geaktiveer is maar MFA delete gedeaktiveer is, kan die aanvaller Object Versioning deaktiveer. As beide Object Versioning en MFA delete geaktiveer is, word dit moeiliker vir die aanvaller om daardie spesifieke emmer te ransomware.

Met die AWS API, die aanvaller vervang elke voorwerp in die emmer met 'n geënkripteerde kopie met hul KMS sleutel. Dit enkripteer effektief die data in die emmer, wat dit ontoeganklik maak sonder die sleutel.

Om verdere druk uit te oefen, skeduleer die aanvaller die verwydering van die KMS sleutel wat in die aanval gebruik is. Dit gee die teiken 'n 7-dae venster om hul data te herstel voordat die sleutel verwyder word en die data permanent verlore gaan.

Laastens, die aanvaller kan 'n finale lêer oplaai, gewoonlik genaamd "ransom-note.txt," wat instruksies vir die teiken bevat oor hoe om hul lêers te herwin. Hierdie lêer word sonder enkripsie opgelaai, waarskynlik om die teiken se aandag te trek en hulle bewus te maak van die ransomware aanval.

Vir meer inligting kyk die oorspronklike navorsing.