AWS - Macie Enum

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichen.

Macie

Amazon Macie hebt sich als Dienst hervor, der automatisch Daten innerhalb eines AWS-Kontos erkennen, klassifizieren und identifizieren kann. Er nutzt maschinelles Lernen, um Daten kontinuierlich zu überwachen und zu analysieren, wobei der Schwerpunkt auf der Erkennung und Alarmierung bei ungewöhnlichen oder verdächtigen Aktivitäten liegt, indem CloudTrail-Ereignisdaten und Benutzerverhaltensmuster untersucht werden.

Wichtige Funktionen von Amazon Macie:

Aktive Datenüberprüfung: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen innerhalb des AWS-Kontos stattfinden.
Anomalieerkennung: Identifiziert unregelmäßige Aktivitäten oder Zugriffsverhalten und generiert Alarme, um potenzielle Risiken für die Datensicherheit zu mindern.
Kontinuierliche Überwachung: Überwacht und erkennt automatisch neue Daten in Amazon S3 und verwendet maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Zugriffsverhalten anzupassen.
Datenklassifizierung mit NLP: Nutzt die Verarbeitung natürlicher Sprache (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, wobei Risikopunkte zugewiesen werden, um die Ergebnisse zu priorisieren.
Sicherheitsüberwachung: Identifiziert sicherheitsrelevante Daten, einschließlich API-Schlüssel, geheimer Schlüssel und persönlicher Informationen, um Datenlecks zu verhindern.

Amazon Macie ist ein regionaler Dienst und erfordert die IAM-Rolle 'AWSMacieServiceCustomerSetupRole' sowie einen aktivierten AWS CloudTrail für die Funktionalität.

Alarmsystem

Macie kategorisiert Alarme in vordefinierte Kategorien wie:

Anonymisierter Zugriff
Datenkonformität
Verlust von Anmeldeinformationen
Privilegieneskalation
Ransomware
Verdächtiger Zugriff usw.

Diese Alarme bieten detaillierte Beschreibungen und Ergebnisanalysen für eine effektive Reaktion und Lösung.

Dashboard-Funktionen

Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich:

S3-Objekte (nach Zeitbereich, ACL, PII)
Hochrisiko CloudTrail-Ereignisse/Benutzer
Aktivitätsstandorte
CloudTrail-Benutzeridentitätstypen und mehr.

Benutzerkategorisierung

Benutzer werden basierend auf dem Risikoniveau ihrer API-Aufrufe in Stufen eingeteilt:

Platin: Hochrisiko-API-Aufrufe, oft mit Administratorrechten.
Gold: Infrastrukturbezogene API-Aufrufe.
Silber: Mittelrisiko-API-Aufrufe.
Bronze: Niedrigrisiko-API-Aufrufe.

Identitätstypen

Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen.

Datenklassifizierung

Die Datenklassifizierung umfasst:

Inhaltstyp: Basierend auf dem erkannten Inhaltstyp.
Dateierweiterung: Basierend auf der Dateierweiterung.
Thema: Kategorisiert nach Schlüsselwörtern innerhalb von Dateien.
Regex: Kategorisiert basierend auf spezifischen Regex-Mustern.

Das höchste Risiko unter diesen Kategorien bestimmt das endgültige Risikoniveau der Datei.

Forschung und Analyse

Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es die Einladung anderer Konten zur gemeinsamen Nutzung von Amazon Macie, um die gemeinsame Datenverwaltung und Sicherheitsüberwachung zu erleichtern.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

Aus der Perspektive eines Angreifers ist dieser Dienst nicht dazu gedacht, den Angreifer zu erkennen, sondern um sensible Informationen in den gespeicherten Dateien zu erkennen. Daher könnte dieser Dienst einem Angreifer helfen, sensible Informationen in den Buckets zu finden. Vielleicht könnte ein Angreifer jedoch auch daran interessiert sein, ihn zu stören, um zu verhindern, dass das Opfer Warnungen erhält und diese Informationen leichter stehlen kann.

TODO: PRs sind willkommen!

References

https://cloudacademy.com/blog/introducing-aws-security-hub/

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago