AWS - GuardDuty Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Laut den Docs: GuardDuty kombiniert maschinelles Lernen, Anomalieerkennung, Netzwerküberwachung und Entdeckung bösartiger Dateien, indem es sowohl AWS- als auch branchenführende Drittanbieterquellen nutzt, um Workloads und Daten auf AWS zu schützen. GuardDuty ist in der Lage, Dutzende von Milliarden von Ereignissen über mehrere AWS-Datenquellen zu analysieren, wie z.B. AWS CloudTrail-Ereignisprotokolle, Amazon Virtual Private Cloud (VPC) Flow Logs, Amazon Elastic Kubernetes Service (EKS) Audit- und Systemprotokolle sowie DNS-Abfrageprotokolle.
Amazon GuardDuty identifiziert ungewöhnliche Aktivitäten innerhalb Ihrer Konten, analysiert die Sicherheitsrelevanz der Aktivität und gibt den Kontext an, in dem sie ausgelöst wurde. Dies ermöglicht es einem Reaktionsbeauftragten zu bestimmen, ob er Zeit für weitere Untersuchungen aufwenden sollte.
Warnungen erscheinen in der GuardDuty-Konsole (90 Tage) und CloudWatch-Ereignissen.
Wenn ein Benutzer GuardDuty deaktiviert, wird die Überwachung Ihrer AWS-Umgebung eingestellt und es werden keine neuen Erkenntnisse mehr generiert, und die bestehenden Erkenntnisse gehen verloren. Wenn Sie es einfach nur stoppen, bleiben die bestehenden Erkenntnisse erhalten.
Aufklärung: Aktivitäten, die auf eine Aufklärung durch einen Angreifer hindeuten, wie z.B. ungewöhnliche API-Aktivitäten, verdächtige Datenbank-Anmeldeversuche, intra-VPC-Port-Scans, ungewöhnliche Muster bei fehlgeschlagenen Anmeldeanfragen oder unblockierte Portabfragen von einer bekannten schlechten IP.
Instanzkompromittierung: Aktivitäten, die auf eine Instanzkompromittierung hinweisen, wie z.B. Kryptowährungs-Mining, Backdoor-Befehls- und Kontrollaktivitäten (C&C), Malware, die Domain-Generierungsalgorithmen (DGA) verwendet, ausgehende Denial-of-Service-Aktivitäten, ungewöhnlich hohe Netzwerkverkehrsvolumen, ungewöhnliche Netzwerkprotokolle, ausgehende Instanzkommunikation mit einer bekannten bösartigen IP, temporäre Amazon EC2-Anmeldeinformationen, die von einer externen IP-Adresse verwendet werden, und Datenexfiltration über DNS.
Konto-Kompromittierung: Häufige Muster, die auf eine Konto-Kompromittierung hindeuten, umfassen API-Aufrufe von einem ungewöhnlichen geografischen Standort oder anonymisierenden Proxy, Versuche, das AWS CloudTrail-Logging zu deaktivieren, Änderungen, die die Passwort-Richtlinie des Kontos schwächen, ungewöhnliche Instanz- oder Infrastrukturstarts, Infrastrukturbereitstellungen in einer ungewöhnlichen Region, Anmeldeinformationsdiebstahl, verdächtige Datenbank-Anmeldeaktivitäten und API-Aufrufe von bekannten bösartigen IP-Adressen.
Bucket-Kompromittierung: Aktivitäten, die auf eine Bucket-Kompromittierung hinweisen, wie z.B. verdächtige Datenzugriffsmuster, die auf einen Missbrauch von Anmeldeinformationen hindeuten, ungewöhnliche Amazon S3 API-Aktivitäten von einem Remote-Host, unbefugter S3-Zugriff von bekannten bösartigen IP-Adressen und API-Aufrufe zum Abrufen von Daten in S3-Buckets von einem Benutzer ohne vorherige Historie des Zugriffs auf den Bucket oder von einem ungewöhnlichen Standort aus. Amazon GuardDuty überwacht und analysiert kontinuierlich AWS CloudTrail S3-Datenereignisse (z.B. GetObject, ListObjects, DeleteObject), um verdächtige Aktivitäten in all Ihren Amazon S3-Buckets zu erkennen.
Zugriff auf eine Liste aller GuardDuty-Erkenntnisse unter: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html
Sie können andere Konten zu einem anderen AWS GuardDuty-Konto einladen, sodass jedes Konto von demselben GuardDuty überwacht wird. Das Master-Konto muss die Mitgliedskonten einladen, und dann muss der Vertreter des Mitgliedskontos die Einladung annehmen.
Sie können jedes Konto innerhalb der Organisation als GuardDuty-Delegierten-Administrator benennen. Nur das Organisationsverwaltungs-Konto kann einen delegierten Administrator benennen.
Ein Konto, das als delegierter Administrator benannt wird, wird zu einem GuardDuty-Administratorkonto, hat GuardDuty automatisch in der benannten AWS-Region aktiviert und hat auch die Berechtigung, GuardDuty für alle Konten in der Organisation innerhalb dieser Region zu aktivieren und zu verwalten. Die anderen Konten in der Organisation können als GuardDuty-Mitgliedskonten angezeigt und hinzugefügt werden, die mit diesem delegierten Administratorkonto verbunden sind.
Versuchen Sie, so viel wie möglich über das Verhalten der Anmeldeinformationen herauszufinden, die Sie verwenden möchten:
Zeiten, zu denen sie verwendet werden
Standorte
Benutzeragenten / Dienste (es könnte von awscli, webconsole, lambda... verwendet werden)
Regelmäßig verwendete Berechtigungen
Mit diesen Informationen, versuchen Sie, das gleiche Szenario so gut wie möglich nachzustellen, um den Zugriff zu nutzen:
Wenn es sich um einen Benutzer oder eine Rolle handelt, die von einem Benutzer zugegriffen wird, versuchen Sie, es zur gleichen Zeit, von der gleichen Geolokation (sogar vom gleichen ISP und IP, wenn möglich) zu verwenden
Wenn es sich um eine Rolle handelt, die von einem Dienst verwendet wird, erstellen Sie denselben Dienst in derselben Region und verwenden Sie ihn von dort aus in denselben Zeitbereichen
Versuchen Sie immer, die gleichen Berechtigungen zu verwenden, die dieser Hauptbenutzer verwendet hat
Wenn Sie andere Berechtigungen verwenden oder eine Berechtigung missbrauchen müssen (zum Beispiel, 1.000.000 CloudTrail-Protokolldateien herunterladen), tun Sie dies langsam und mit der minimalen Anzahl von Interaktionen mit AWS (awscli ruft manchmal mehrere Lese-APIs vor der Schreib-API auf)
guardduty:UpdateDetector
Mit dieser Berechtigung könnten Sie GuardDuty deaktivieren, um das Auslösen von Warnungen zu vermeiden.
guardduty:CreateFilter
Angreifer mit dieser Berechtigung haben die Möglichkeit, Filter für die automatische Archivierung von Ergebnissen zu verwenden:
iam:PutRolePolicy
, (guardduty:CreateIPSet
|guardduty:UpdateIPSet
)Angreifer mit den vorherigen Berechtigungen könnten die Vertrauenswürdige IP-Liste von GuardDuty ändern, indem sie ihre IP-Adresse hinzufügen und so das Generieren von Warnmeldungen vermeiden.
guardduty:DeletePublishingDestination
Angreifer könnten das Ziel entfernen, um Warnungen zu verhindern:
Das Löschen dieses Veröffentlichungsziels wird keine Auswirkungen auf die Generierung oder Sichtbarkeit von Ergebnissen in der GuardDuty-Konsole haben. GuardDuty wird weiterhin Ereignisse in Ihrer AWS-Umgebung analysieren, verdächtiges oder unerwartetes Verhalten identifizieren und Ergebnisse generieren.
Beachten Sie, dass es Dutzende von GuardDuty-Findings gibt, jedoch werden nicht alle von ihnen Sie als Red Teamer betreffen, und was noch besser ist, Sie haben die vollständige Dokumentation zu jedem von ihnen unter https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html, also werfen Sie einen Blick darauf, bevor Sie Maßnahmen ergreifen, um nicht erwischt zu werden.
Hier sind ein paar Beispiele für spezifische GuardDuty Findings-Bypässe:
GuardDuty erkennt AWS API-Anfragen von gängigen Penetrationstest-Tools und löst ein PenTest Finding aus. Es wird durch den Benutzeragentennamen erkannt, der in der API-Anfrage übergeben wird. Daher ist es möglich, den Benutzeragenten zu ändern, um zu verhindern, dass GuardDuty den Angriff erkennt.
Um dies zu verhindern, können Sie im Skript session.py
im botocore
-Paket nach dem Benutzeragenten suchen und ihn ändern oder Burp Suite als AWS CLI-Proxy einrichten und den Benutzeragenten mit MitM ändern oder einfach ein Betriebssystem wie Ubuntu, Mac oder Windows verwenden, um zu verhindern, dass dieser Alarm ausgelöst wird.
Das Extrahieren von EC2-Anmeldeinformationen aus dem Metadatenservice und deren Nutzung außerhalb der AWS-Umgebung aktiviert den UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
Alarm. Im Gegensatz dazu löst die Verwendung dieser Anmeldeinformationen von Ihrer EC2-Instanz den UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
Alarm aus. Dennoch bleibt die Verwendung der Anmeldeinformationen auf einer anderen kompromittierten EC2-Instanz innerhalb desselben Kontos unentdeckt, ohne einen Alarm auszulösen.
Daher verwenden Sie die exfiltrierten Anmeldeinformationen von innerhalb der Maschine, in der Sie sie gefunden haben, um diesen Alarm nicht auszulösen.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)