AWS - GuardDuty Enum
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Volgens die docs: GuardDuty kombineer masjienleer, anomaliedetektering, netwerkmonitering, en kwaadwillige lêerontdekking, met behulp van beide AWS en bedryf-leidende derdeparty bronne om te help om werklading en data op AWS te beskerm. GuardDuty is in staat om tien biljoen gebeurtenisse oor verskeie AWS databronne te analiseer, soos AWS CloudTrail gebeurtenislogs, Amazon Virtual Private Cloud (VPC) Flow Logs, Amazon Elastic Kubernetes Service (EKS) oudit en stelselniveau logs, en DNS-vraaglogs.
Amazon GuardDuty identifiseer ongewone aktiwiteit binne jou rekeninge, analiseer die veiligheidsrelevansie van die aktiwiteit, en gee die konteks waarin dit geaktiveer is. Dit stel 'n responder in staat om te bepaal of hulle tyd moet spandeer aan verdere ondersoek.
Alerte verskyn in die GuardDuty konsole (90 dae) en CloudWatch Events.
Wanneer 'n gebruiker GuardDuty deaktiveer, sal dit ophou om jou AWS omgewing te monitor en dit sal glad nie nuwe bevindings genereer nie, en die bestaande bevindings sal verlore gaan. As jy dit net stop, sal die bestaande bevindings bly.
Verkenning: Aktiwiteit wat verkenning deur 'n aanvaller voorstel, soos ongewone API aktiwiteit, verdagte databasis aanmeld pogings, intra-VPC poortskandering, ongewone mislukte aanmeldversoekpatrone, of onbelemmerde poortprobering vanaf 'n bekende slegte IP.
Instansie kompromie: Aktiwiteit wat 'n instansie kompromie aandui, soos kripto-geldeenheid mynbou, agterdeur opdrag en beheer (C&C) aktiwiteit, malware wat domeingenerasie-algoritmes (DGA) gebruik, uitgaande ontkenning van diens aktiwiteit, ongewone hoë netwerk verkeersvolume, ongewone netwerkprotokolle, uitgaande instansiekommunikasie met 'n bekende kwaadwillige IP, tydelike Amazon EC2 geloofsbriewe wat deur 'n eksterne IP-adres gebruik word, en data eksfiltrasie met behulp van DNS.
Rekening kompromie: Algemene patrone wat dui op rekening kompromie sluit API-oproepe vanaf 'n ongewone geolokasie of anonymiserende proxy in, pogings om AWS CloudTrail logging te deaktiveer, veranderinge wat die rekening wagwoordbeleid verswak, ongewone instansie of infrastruktuur bekendstellings, infrastruktuur ontplooiings in 'n ongewone streek, geloofsbriewe diefstal, verdagte databasis aanmeld aktiwiteit, en API-oproepe vanaf bekende kwaadwillige IP-adresse.
Emmer kompromie: Aktiwiteit wat 'n emmer kompromie aandui, soos verdagte data toegang patrone wat geloofsbrief misbruik aandui, ongewone Amazon S3 API aktiwiteit vanaf 'n afgeleë gasheer, ongeoorloofde S3 toegang vanaf bekende kwaadwillige IP-adresse, en API-oproepe om data in S3 emmers te verkry vanaf 'n gebruiker met geen vorige geskiedenis van toegang tot die emmer of geaktiveer vanaf 'n ongewone ligging. Amazon GuardDuty monitor en analiseer voortdurend AWS CloudTrail S3 data gebeurtenisse (bv. GetObject, ListObjects, DeleteObject) om verdagte aktiwiteit oor al jou Amazon S3 emmers te detecteer.
Toegang tot 'n lys van al die GuardDuty bevindinge in: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html
Jy kan ander rekeninge na 'n ander AWS GuardDuty rekening uitnooi sodat elke rekening vanaf dieselfde GuardDuty gemonitor word. Die meesterrekening moet die lid rekeninge uitnooi en dan moet die verteenwoordiger van die lid rekening die uitnodiging aanvaar.
Jy kan enige rekening binne die organisasie aanwys om die GuardDuty gedelegeerde administrateur te wees. Slegs die organisasie bestuurrekening kan 'n gedelegeerde administrateur aanwys.
'n Rekening wat as 'n gedelegeerde administrateur aangewys word, word 'n GuardDuty administrateur rekening, het GuardDuty outomaties geaktiveer in die aangewese AWS streek, en het ook die toestemming om GuardDuty in te skakel en te bestuur vir al die rekeninge in die organisasie binne daardie streek. Die ander rekeninge in die organisasie kan gesien en bygevoeg word as GuardDuty lid rekeninge wat met hierdie gedelegeerde administrateur rekening geassosieer word.
Probeer soveel as moontlik uit te vind oor die gedrag van die kredensiale wat jy gaan gebruik:
Tye wat dit gebruik word
Plekke
Gebruikersagente / Dienste (Dit kan gebruik word vanaf awscli, webconsole, lambda...)
Toestemmings wat gereeld gebruik word
Met hierdie inligting, herleef soveel as moontlik dieselfde scenario om die toegang te gebruik:
As dit 'n gebruiker of 'n rol is wat deur 'n gebruiker toeganklik is, probeer om dit in dieselfde ure te gebruik, vanaf dieselfde geolokasie (selfs dieselfde ISP en IP indien moontlik)
As dit 'n rol is wat deur 'n diens gebruik word, skep dieselfde diens in dieselfde streek en gebruik dit van daar in dieselfde tydsbereik
Probeer altyd om die dieselfde toestemmings te gebruik wat hierdie prinsiep gebruik het
As jy ander toestemmings moet gebruik of 'n toestemming moet misbruik (byvoorbeeld, aflaai van 1.000.000 cloudtrail log lêers) doen dit stadig en met die minimale hoeveelheid interaksies met AWS (awscli roep soms verskeie lees-API's aan voordat die skryf een)
guardduty:UpdateDetectorMet hierdie toestemming kan jy GuardDuty deaktiveer om te voorkom dat waarskuwings geaktiveer word.
guardduty:CreateFilterAanvallers met hierdie toestemming het die vermoë om filters te gebruik vir die outomatiese argivering van bevindings:
iam:PutRolePolicy, (guardduty:CreateIPSet|guardduty:UpdateIPSet)Aanvallers met die vorige voorregte kon GuardDuty se Vertroude IP lys wysig deur hul IP-adres daaraan toe te voeg en sodoende die generering van waarskuwings te vermy.
guardduty:DeletePublishingDestinationAanvallers kan die bestemming verwyder om waarskuwings te voorkom:
Die verwydering van hierdie publikasiebestemming sal nie die generering of sigbaarheid van bevindings binne die GuardDuty-konsol beïnvloed nie. GuardDuty sal voortgaan om gebeurtenisse in jou AWS-omgewing te analiseer, verdagte of onverwagte gedrag te identifiseer, en bevindings te genereer.
Let daarop dat daar tientalle GuardDuty bevindings is, egter, as 'n Red Teamer sal nie almal jou beïnvloed nie, en wat beter is, jy het die volledige dokumentasie van elk van hulle in https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html so kyk na dit voordat jy enige aksie onderneem om nie gevang te word nie.
Hier is 'n paar voorbeelde van spesifieke GuardDuty bevindinge bypasses:
GuardDuty detect AWS API versoeke van algemene penetrasietoets gereedskap en aktiveer 'n PenTest Bevinding. Dit word opgespoor deur die gebruikersagentnaam wat in die API versoek oorgedra word. Daarom, om die gebruikersagent te wysig is dit moontlik om te voorkom dat GuardDuty die aanval opspoor.
Om dit te voorkom kan jy soek vanaf die skrip session.py in die botocore pakket en die gebruikersagent wysig, of stel Burp Suite as die AWS CLI proxy en verander die gebruikersagent met die MitM of gebruik net 'n OS soos Ubuntu, Mac of Windows wat hierdie waarskuwing sal voorkom.
Die onttrekking van EC2 geloofsbriewe uit die metadata diens en die gebruik daarvan buite die AWS-omgewing aktiveer die UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS waarskuwing. Omgekeerd, die gebruik van hierdie geloofsbriewe vanaf jou EC2 instance aktiveer die UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS waarskuwing. Tog, die gebruik van die geloofsbriewe op 'n ander gecompromitteerde EC2 instance binne dieselfde rekening gaan onopgemerk, wat geen waarskuwing veroorsaak nie.
Daarom, gebruik die onttrokken geloofsbriewe van binne die masjien waar jy dit gevind het om nie hierdie waarskuwing te aktiveer nie.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
