AWS - S3 Post Exploitation
S3
Für weitere Informationen siehe:
Sensible Informationen
Manchmal kannst du sensible Informationen in lesbarer Form in den Buckets finden. Zum Beispiel Terraform-Zustandsgeheimnisse.
Pivoting
Verschiedene Plattformen könnten S3 verwenden, um sensible Assets zu speichern. Zum Beispiel könnte airflow DAGs Code dort speichern, oder Webseiten könnten direkt von S3 bereitgestellt werden. Ein Angreifer mit Schreibberechtigungen könnte den Code aus dem Bucket modifizieren, um zu anderen Plattformen zu pivotieren oder Konten zu übernehmen, indem er JS-Dateien ändert.
S3 Ransomware
In diesem Szenario erstellt der Angreifer einen KMS (Key Management Service) Schlüssel in seinem eigenen AWS-Konto oder einem anderen kompromittierten Konto. Dann macht er diesen Schlüssel für jeden auf der Welt zugänglich, sodass jeder AWS-Benutzer, jede Rolle oder jedes Konto Objekte mit diesem Schlüssel verschlüsseln kann. Die Objekte können jedoch nicht entschlüsselt werden.
Der Angreifer identifiziert einen Ziel-S3-Bucket und erhält Schreibzugriff darauf, indem er verschiedene Methoden anwendet. Dies könnte auf eine schlechte Bucket-Konfiguration zurückzuführen sein, die ihn öffentlich macht, oder der Angreifer erhält Zugriff auf die AWS-Umgebung selbst. Der Angreifer zielt typischerweise auf Buckets ab, die sensible Informationen wie personenbezogene Daten (PII), geschützte Gesundheitsinformationen (PHI), Protokolle, Backups und mehr enthalten.
Um festzustellen, ob der Bucket für Ransomware angegriffen werden kann, überprüft der Angreifer seine Konfiguration. Dazu gehört die Überprüfung, ob S3 Object Versioning aktiviert ist und ob Multi-Faktor-Authentifizierungslöschung (MFA-Löschung) aktiviert ist. Wenn Object Versioning nicht aktiviert ist, kann der Angreifer fortfahren. Wenn Object Versioning aktiviert ist, aber MFA-Löschung deaktiviert ist, kann der Angreifer Object Versioning deaktivieren. Wenn sowohl Object Versioning als auch MFA-Löschung aktiviert sind, wird es für den Angreifer schwieriger, diesen speziellen Bucket mit Ransomware anzugreifen.
Mit der AWS-API ersetzt der Angreifer jedes Objekt im Bucket durch eine verschlüsselte Kopie mit seinem KMS-Schlüssel. Dies verschlüsselt effektiv die Daten im Bucket, sodass sie ohne den Schlüssel nicht zugänglich sind.
Um zusätzlichen Druck auszuüben, plant der Angreifer die Löschung des KMS-Schlüssels, der im Angriff verwendet wurde. Dies gibt dem Ziel ein 7-tägiges Zeitfenster, um seine Daten wiederherzustellen, bevor der Schlüssel gelöscht wird und die Daten dauerhaft verloren gehen.
Schließlich könnte der Angreifer eine letzte Datei hochladen, die normalerweise "ransom-note.txt" heißt und Anweisungen für das Ziel enthält, wie es seine Dateien abrufen kann. Diese Datei wird ohne Verschlüsselung hochgeladen, wahrscheinlich um die Aufmerksamkeit des Ziels zu erregen und es auf den Ransomware-Angriff aufmerksam zu machen.
Für weitere Informationen überprüfe die ursprüngliche Forschung.
Last updated