AWS - S3 Post Exploitation

S3

有关更多信息，请查看：

敏感信息

有时您可以在可读的桶中找到敏感信息。例如，terraform 状态机密。

侧向移动

不同的平台可能使用 S3 存储敏感资产。 例如，airflow 可能在其中存储 DAGs 代码，或者 网页 可能直接从 S3 提供服务。具有写入权限的攻击者可以 修改桶中的代码 以 侧向移动 到其他平台，或 接管账户 修改 JS 文件。

S3 勒索软件

在这种情况下，攻击者在他们自己的 AWS 账户 或另一个被攻陷的账户中创建一个 KMS（密钥管理服务）密钥。然后，他们使这个 密钥对全世界可用，允许任何 AWS 用户、角色或账户使用此密钥加密对象。然而，这些对象无法被解密。

攻击者识别一个目标 S3 桶并获得写入级别的访问权限，使用各种方法。这可能是由于糟糕的桶配置使其公开可见，或者攻击者获得了 AWS 环境本身的访问权限。攻击者通常针对包含敏感信息的桶，例如个人身份信息（PII）、受保护的健康信息（PHI）、日志、备份等。

为了确定桶是否可以被用作勒索软件的目标，攻击者检查其配置。这包括验证 S3 对象版本控制 是否启用，以及 多因素身份验证删除（MFA 删除）是否启用。如果未启用对象版本控制，攻击者可以继续。如果启用了对象版本控制但未启用 MFA 删除，攻击者可以 禁用对象版本控制。如果同时启用了对象版本控制和 MFA 删除，攻击者对该特定桶进行勒索软件攻击的难度就会增加。

使用 AWS API，攻击者 用他们的 KMS 密钥替换桶中的每个对象为加密副本。这有效地加密了桶中的数据，使其在没有密钥的情况下无法访问。

为了施加更大的压力，攻击者安排删除在攻击中使用的 KMS 密钥。这给目标提供了 7 天的时间窗口来恢复他们的数据，然后密钥被删除，数据将永久丢失。

最后，攻击者可以上传一个最终文件，通常命名为 "ransom-note.txt"，其中包含目标如何检索其文件的说明。该文件未加密上传，可能是为了引起目标的注意并让他们意识到勒索软件攻击。

有关更多信息 请查看原始研究.