AWS - S3 Post Exploitation
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Για περισσότερες πληροφορίες ελέγξτε:
AWS - S3, Athena & Glacier EnumΜερικές φορές θα μπορείτε να βρείτε ευαίσθητες πληροφορίες σε αναγνώσιμες μορφές στους κάδους. Για παράδειγμα, μυστικά κατάστασης terraform.
Διαφορετικές πλατφόρμες θα μπορούσαν να χρησιμοποιούν το S3 για να αποθηκεύσουν ευαίσθητα περιουσιακά στοιχεία. Για παράδειγμα, το airflow θα μπορούσε να αποθηκεύει τον κώδικα DAGs εκεί, ή οι ιστοσελίδες θα μπορούσαν να εξυπηρετούνται απευθείας από το S3. Ένας επιτιθέμενος με δικαιώματα εγγραφής θα μπορούσε να τροποποιήσει τον κώδικα από τον κάδο για να pivot σε άλλες πλατφόρμες, ή να καταλάβει λογαριασμούς τροποποιώντας αρχεία JS.
Σε αυτό το σενάριο, ο επιτιθέμενος δημιουργεί ένα κλειδί KMS (Key Management Service) στον δικό του λογαριασμό AWS ή σε άλλο παραβιασμένο λογαριασμό. Στη συνέχεια, καθιστά αυτό το κλειδί προσβάσιμο σε οποιονδήποτε στον κόσμο, επιτρέποντας σε οποιονδήποτε χρήστη, ρόλο ή λογαριασμό AWS να κρυπτογραφήσει αντικείμενα χρησιμοποιώντας αυτό το κλειδί. Ωστόσο, τα αντικείμενα δεν μπορούν να αποκρυπτογραφηθούν.
Ο επιτιθέμενος εντοπίζει έναν στόχο S3 κάδο και αποκτά πρόσβαση επιπέδου εγγραφής σε αυτόν χρησιμοποιώντας διάφορες μεθόδους. Αυτό θα μπορούσε να οφείλεται σε κακή διαμόρφωση του κάδου που τον εκθέτει δημόσια ή ο επιτιθέμενος αποκτά πρόσβαση στο περιβάλλον AWS. Ο επιτιθέμενος συνήθως στοχεύει κάδους που περιέχουν ευαίσθητες πληροφορίες όπως προσωπικά αναγνωρίσιμες πληροφορίες (PII), προστατευμένες πληροφορίες υγείας (PHI), αρχεία καταγραφής, αντίγραφα ασφαλείας και άλλα.
Για να προσδιορίσει αν ο κάδος μπορεί να στοχευθεί για ransomware, ο επιτιθέμενος ελέγχει τη διαμόρφωσή του. Αυτό περιλαμβάνει την επαλήθευση αν είναι ενεργοποιημένο το S3 Object Versioning και αν είναι ενεργοποιημένο το multi-factor authentication delete (MFA delete). Εάν το Object Versioning δεν είναι ενεργοποιημένο, ο επιτιθέμενος μπορεί να προχωρήσει. Εάν το Object Versioning είναι ενεργοποιημένο αλλά το MFA delete είναι απενεργοποιημένο, ο επιτιθέμενος μπορεί να απενεργοποιήσει το Object Versioning. Εάν και τα δύο, Object Versioning και MFA delete είναι ενεργοποιημένα, γίνεται πιο δύσκολο για τον επιτιθέμενο να ransomware αυτόν τον συγκεκριμένο κάδο.
Χρησιμοποιώντας το AWS API, ο επιτιθέμενος αντικαθιστά κάθε αντικείμενο στον κάδο με μια κρυπτογραφημένη αντίγραφο χρησιμοποιώντας το κλειδί KMS του. Αυτό κρυπτογραφεί αποτελεσματικά τα δεδομένα στον κάδο, καθιστώντας τα μη προσβάσιμα χωρίς το κλειδί.
Για να προσθέσει περαιτέρω πίεση, ο επιτιθέμενος προγραμματίζει τη διαγραφή του κλειδιού KMS που χρησιμοποιήθηκε στην επίθεση. Αυτό δίνει στον στόχο ένα περιθώριο 7 ημερών για να ανακτήσει τα δεδομένα του πριν διαγραφεί το κλειδί και τα δεδομένα γίνουν μόνιμα χαμένα.
Τέλος, ο επιτιθέμενος θα μπορούσε να ανεβάσει ένα τελικό αρχείο, συνήθως ονομαζόμενο "ransom-note.txt," το οποίο περιέχει οδηγίες για τον στόχο σχετικά με το πώς να ανακτήσει τα αρχεία του. Αυτό το αρχείο ανεβαίνει χωρίς κρυπτογράφηση, πιθανώς για να τραβήξει την προσοχή του στόχου και να τον ενημερώσει για την επίθεση ransomware.
Για περισσότερες πληροφορίες ελέγξτε την αρχική έρευνα.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
