AWS - S3 Post Exploitation

支持 HackTricks

S3

有关更多信息,请查看:

敏感信息

有时您可以在可读的桶中找到敏感信息。例如,terraform 状态机密。

侧向移动

不同的平台可能使用 S3 存储敏感资产。 例如,airflow 可能在其中存储 DAGs 代码,或者 网页 可能直接从 S3 提供服务。具有写入权限的攻击者可以 修改桶中的代码侧向移动 到其他平台,或 接管账户 修改 JS 文件。

S3 勒索软件

在这种情况下,攻击者在他们自己的 AWS 账户 或另一个被攻陷的账户中创建一个 KMS(密钥管理服务)密钥。然后,他们使这个 密钥对全世界可用,允许任何 AWS 用户、角色或账户使用此密钥加密对象。然而,这些对象无法被解密。

攻击者识别一个目标 S3 桶并获得写入级别的访问权限,使用各种方法。这可能是由于糟糕的桶配置使其公开可见,或者攻击者获得了 AWS 环境本身的访问权限。攻击者通常针对包含敏感信息的桶,例如个人身份信息(PII)、受保护的健康信息(PHI)、日志、备份等。

为了确定桶是否可以被用作勒索软件的目标,攻击者检查其配置。这包括验证 S3 对象版本控制 是否启用,以及 多因素身份验证删除(MFA 删除)是否启用。如果未启用对象版本控制,攻击者可以继续。如果启用了对象版本控制但未启用 MFA 删除,攻击者可以 禁用对象版本控制。如果同时启用了对象版本控制和 MFA 删除,攻击者对该特定桶进行勒索软件攻击的难度就会增加。

使用 AWS API,攻击者 用他们的 KMS 密钥替换桶中的每个对象为加密副本。这有效地加密了桶中的数据,使其在没有密钥的情况下无法访问。

为了施加更大的压力,攻击者安排删除在攻击中使用的 KMS 密钥。这给目标提供了 7 天的时间窗口来恢复他们的数据,然后密钥被删除,数据将永久丢失。

最后,攻击者可以上传一个最终文件,通常命名为 "ransom-note.txt",其中包含目标如何检索其文件的说明。该文件未加密上传,可能是为了引起目标的注意并让他们意识到勒索软件攻击。

有关更多信息 请查看原始研究.

支持 HackTricks

Last updated