AWS - S3 Post Exploitation
S3
有关更多信息,请查看:
敏感信息
有时您可以在可读的桶中找到敏感信息。例如,terraform 状态机密。
侧向移动
不同的平台可能使用 S3 存储敏感资产。 例如,airflow 可能在其中存储 DAGs 代码,或者 网页 可能直接从 S3 提供服务。具有写入权限的攻击者可以 修改桶中的代码 以 侧向移动 到其他平台,或 接管账户 修改 JS 文件。
S3 勒索软件
在这种情况下,攻击者在他们自己的 AWS 账户 或另一个被攻陷的账户中创建一个 KMS(密钥管理服务)密钥。然后,他们使这个 密钥对全世界可用,允许任何 AWS 用户、角色或账户使用此密钥加密对象。然而,这些对象无法被解密。
攻击者识别一个目标 S3 桶并获得写入级别的访问权限,使用各种方法。这可能是由于糟糕的桶配置使其公开可见,或者攻击者获得了 AWS 环境本身的访问权限。攻击者通常针对包含敏感信息的桶,例如个人身份信息(PII)、受保护的健康信息(PHI)、日志、备份等。
为了确定桶是否可以被用作勒索软件的目标,攻击者检查其配置。这包括验证 S3 对象版本控制 是否启用,以及 多因素身份验证删除(MFA 删除)是否启用。如果未启用对象版本控制,攻击者可以继续。如果启用了对象版本控制但未启用 MFA 删除,攻击者可以 禁用对象版本控制。如果同时启用了对象版本控制和 MFA 删除,攻击者对该特定桶进行勒索软件攻击的难度就会增加。
使用 AWS API,攻击者 用他们的 KMS 密钥替换桶中的每个对象为加密副本。这有效地加密了桶中的数据,使其在没有密钥的情况下无法访问。
为了施加更大的压力,攻击者安排删除在攻击中使用的 KMS 密钥。这给目标提供了 7 天的时间窗口来恢复他们的数据,然后密钥被删除,数据将永久丢失。
最后,攻击者可以上传一个最终文件,通常命名为 "ransom-note.txt",其中包含目标如何检索其文件的说明。该文件未加密上传,可能是为了引起目标的注意并让他们意识到勒索软件攻击。
有关更多信息 请查看原始研究.
Last updated