AWS - CloudWatch Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CloudWatch συλλέγει δεδομένα παρακολούθησης και λειτουργίας με τη μορφή καταγραφών/μετρικών/γεγονότων παρέχοντας μια ενιαία εικόνα των πόρων AWS, εφαρμογών και υπηρεσιών. Το CloudWatch Log Event έχει περιορισμό μεγέθους 256KB σε κάθε γραμμή καταγραφής. Μπορεί να ρυθμίσει συναγερμούς υψηλής ανάλυσης, να οπτικοποιήσει καταγραφές και μετρικές δίπλα-δίπλα, να εκτελεί αυτοματοποιημένες ενέργειες, να επιλύει προβλήματα και να ανακαλύπτει πληροφορίες για τη βελτιστοποίηση εφαρμογών.
Μπορείτε να παρακολουθήσετε, για παράδειγμα, καταγραφές από το CloudTrail. Τα γεγονότα που παρακολουθούνται:
Αλλαγές σε Ομάδες Ασφαλείας και NACLs
Εκκίνηση, Διακοπή, επανεκκίνηση και τερματισμός EC2 instances
Αλλαγές σε Πολιτικές Ασφαλείας εντός IAM και S3
Αποτυχημένες προσπάθειες σύνδεσης στην κονσόλα διαχείρισης AWS
Κλήσεις API που οδήγησαν σε αποτυχημένη εξουσιοδότηση
Φίλτρα για αναζήτηση στο cloudwatch: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html
Ένας χώρος ονομάτων είναι ένα δοχείο για μετρικές CloudWatch. Βοηθά στην κατηγοριοποίηση και απομόνωση μετρικών, διευκολύνοντας τη διαχείριση και ανάλυσή τους.
Παραδείγματα: AWS/EC2 για μετρικές σχετικές με EC2, AWS/RDS για μετρικές RDS.
Οι μετρικές είναι σημεία δεδομένων που συλλέγονται με την πάροδο του χρόνου και αντιπροσωπεύουν την απόδοση ή τη χρήση πόρων AWS. Οι μετρικές μπορούν να συλλέγονται από υπηρεσίες AWS, προσαρμοσμένες εφαρμογές ή τρίτες ενσωματώσεις.
Παράδειγμα: CPUUtilization, NetworkIn, DiskReadOps.
Οι διαστάσεις είναι ζεύγη κλειδιού-τιμής που είναι μέρος των μετρικών. Βοηθούν να προσδιορίσουν μοναδικά μια μετρική και παρέχουν επιπλέον συμφραζόμενα, με 30 να είναι ο μέγιστος αριθμός διαστάσεων που μπορούν να συσχετιστούν με μια μετρική. Οι διαστάσεις επιτρέπουν επίσης την φιλτράρισμα και την ομαδοποίηση μετρικών με βάση συγκεκριμένα χαρακτηριστικά.
Παράδειγμα: Για EC2 instances, οι διαστάσεις μπορεί να περιλαμβάνουν InstanceId, InstanceType και AvailabilityZone.
Οι στατιστικές είναι μαθηματικοί υπολογισμοί που εκτελούνται σε δεδομένα μετρικών για να τα συνοψίσουν με την πάροδο του χρόνου. Κοινές στατιστικές περιλαμβάνουν Μέσο Όρο, Άθροισμα, Ελάχιστο, Μέγιστο και Δείγμα.
Παράδειγμα: Υπολογισμός του μέσου όρου χρήσης CPU σε μια περίοδο μίας ώρας.
Οι μονάδες είναι ο τύπος μέτρησης που σχετίζεται με μια μετρική. Οι μονάδες βοηθούν να παρέχουν συμφραζόμενα και νόημα στα δεδομένα μετρικών. Κοινές μονάδες περιλαμβάνουν Ποσοστό, Bytes, Δευτερόλεπτα, Πλήθος.
Παράδειγμα: Η CPUUtilization μπορεί να μετρηθεί σε Ποσοστό, ενώ το NetworkIn μπορεί να μετρηθεί σε Bytes.
CloudWatch Dashboards παρέχουν προσαρμόσιμες εικόνες των μετρικών AWS CloudWatch σας. Είναι δυνατή η δημιουργία και ρύθμιση των dashboards για την οπτικοποίηση δεδομένων και την παρακολούθηση πόρων σε μια ενιαία εικόνα, συνδυάζοντας διαφορετικές μετρικές από διάφορες υπηρεσίες AWS.
Κύρια Χαρακτηριστικά:
Widgets: Βασικά στοιχεία των dashboards, συμπεριλαμβανομένων γραφημάτων, κειμένου, συναγερμών και άλλων.
Προσαρμογή: Η διάταξη και το περιεχόμενο μπορούν να προσαρμοστούν για να ταιριάζουν σε συγκεκριμένες ανάγκες παρακολούθησης.
Παράδειγμα Χρήσης:
Ένα μόνο dashboard που δείχνει βασικές μετρικές για ολόκληρο το περιβάλλον AWS σας, συμπεριλαμβανομένων των EC2 instances, RDS βάσεων δεδομένων και S3 buckets.
Metric Streams στο AWS CloudWatch σας επιτρέπουν να μεταδίδετε συνεχώς τις μετρικές CloudWatch σε έναν προορισμό της επιλογής σας σε σχεδόν πραγματικό χρόνο. Αυτό είναι ιδιαίτερα χρήσιμο για προηγμένη παρακολούθηση, ανάλυση και προσαρμοσμένα dashboards χρησιμοποιώντας εργαλεία εκτός του AWS.
Metric Data μέσα σε Metric Streams αναφέρεται στις πραγματικές μετρήσεις ή σημεία δεδομένων που μεταδίδονται. Αυτά τα σημεία δεδομένων αντιπροσωπεύουν διάφορες μετρικές όπως η χρήση CPU, η χρήση μνήμης, κ.λπ., για πόρους AWS.
Παράδειγμα Χρήσης:
Αποστολή μετρικών σε πραγματικό χρόνο σε μια υπηρεσία παρακολούθησης τρίτου μέρους για προηγμένη ανάλυση.
Αρχειοθέτηση μετρικών σε ένα Amazon S3 bucket για μακροχρόνια αποθήκευση και συμμόρφωση.
CloudWatch Alarms παρακολουθούν τις μετρικές σας και εκτελούν ενέργειες με βάση προκαθορισμένα όρια. Όταν μια μετρική παραβιάσει ένα όριο, ο συναγερμός μπορεί να εκτελέσει μία ή περισσότερες ενέργειες όπως η αποστολή ειδοποιήσεων μέσω SNS, η ενεργοποίηση μιας πολιτικής αυτόματης κλιμάκωσης ή η εκτέλεση μιας λειτουργίας AWS Lambda.
Κύρια Στοιχεία:
Όριο: Η τιμή στην οποία ενεργοποιείται ο συναγερμός.
Περίοδοι Αξιολόγησης: Ο αριθμός των περιόδων κατά τις οποίες αξιολογούνται τα δεδομένα.
Δεδομένα για Συναγερμό: Ο αριθμός των περιόδων με επιτευχθέν όριο που απαιτούνται για να ενεργοποιηθεί ο συναγερμός.
Ενέργειες: Τι συμβαίνει όταν ενεργοποιείται η κατάσταση του συναγερμού (π.χ., ειδοποίηση μέσω SNS).
Παράδειγμα Χρήσης:
Παρακολούθηση της χρήσης CPU ενός EC2 instance και αποστολή ειδοποίησης μέσω SNS εάν υπερβεί το 80% για 5 συνεχόμενα λεπτά.
Anomaly Detectors χρησιμοποιούν μηχανική μάθηση για να ανιχνεύσουν αυτόματα ανωμαλίες στις μετρικές σας. Μπορείτε να εφαρμόσετε ανίχνευση ανωμαλιών σε οποιαδήποτε μετρική CloudWatch για να εντοπίσετε αποκλίσεις από κανονικά πρότυπα που μπορεί να υποδηλώνουν προβλήματα.
Κύρια Στοιχεία:
Εκπαίδευση Μοντέλου: Το CloudWatch χρησιμοποιεί ιστορικά δεδομένα για να εκπαιδεύσει ένα μοντέλο και να καθορίσει πώς φαίνεται η κανονική συμπεριφορά.
Ζώνη Ανίχνευσης Ανωμαλιών: Μια οπτική αναπαράσταση της αναμενόμενης κλίμακας τιμών για μια μετρική.
Παράδειγμα Χρήσης:
Ανίχνευση ασυνήθιστων προτύπων χρήσης CPU σε ένα EC2 instance που μπορεί να υποδηλώνει παραβίαση ασφάλειας ή πρόβλημα εφαρμογής.
Insight Rules σας επιτρέπουν να εντοπίζετε τάσεις, να ανιχνεύετε αιχμές ή άλλα ενδιαφέροντα πρότυπα στα δεδομένα μετρικών σας χρησιμοποιώντας ισχυρές μαθηματικές εκφράσεις για να καθορίσετε τις συνθήκες υπό τις οποίες θα πρέπει να ληφθούν ενέργειες. Αυτοί οι κανόνες μπορούν να σας βοηθήσουν να εντοπίσετε ανωμαλίες ή ασυνήθιστες συμπεριφορές στην απόδοση και τη χρήση πόρων σας.
Managed Insight Rules είναι προρυθμισμένοι κανόνες ανίχνευσης που παρέχονται από την AWS. Είναι σχεδιασμένοι για να παρακολουθούν συγκεκριμένες υπηρεσίες AWS ή κοινές περιπτώσεις χρήσης και μπορούν να ενεργοποιηθούν χωρίς να απαιτείται λεπτομερής ρύθμιση.
Παράδειγμα Χρήσης:
Παρακολούθηση Απόδοσης RDS: Ενεργοποιήστε έναν διαχειριζόμενο κανόνα ανίχνευσης για το Amazon RDS που παρακολουθεί βασικούς δείκτες απόδοσης όπως η χρήση CPU, η χρήση μνήμης και η δισκοεισαγωγή/εξαγωγή. Εάν οποιαδήποτε από αυτές τις μετρικές υπερβεί ασφαλή λειτουργικά όρια, ο κανόνας μπορεί να ενεργοποιήσει μια ειδοποίηση ή μια αυτοματοποιημένη ενέργεια μετριασμού.
Επιτρέπει να συγκεντρώνετε και να παρακολουθείτε καταγραφές από εφαρμογές και συστήματα από υπηρεσίες AWS (συμπεριλαμβανομένου του CloudTrail) και από εφαρμογές/συστήματα (CloudWatch Agent μπορεί να εγκατασταθεί σε έναν υπολογιστή). Οι καταγραφές μπορούν να αποθηκεύονται επ' αόριστον (ανάλογα με τις ρυθμίσεις της Ομάδας Καταγραφών) και μπορούν να εξαχθούν.
Στοιχεία:
Log Group
Μια συλλογή ροών καταγραφών που μοιράζονται τις ίδιες ρυθμίσεις διατήρησης, παρακολούθησης και ελέγχου πρόσβασης
Log Stream
Μια ακολουθία γεγονότων καταγραφής που μοιράζονται την ίδια πηγή
Subscription Filters
Ορίζουν ένα μοτίβο φίλτρου που ταιριάζει με γεγονότα σε μια συγκεκριμένη ομάδα καταγραφών, στέλνοντάς τα σε ροή Kinesis Data Firehose, ροή Kinesis ή μια λειτουργία Lambda
Το CloudWatch βασικά συγκεντρώνει δεδομένα κάθε 5 λεπτά (το λεπτομερές το κάνει κάθε 1 λεπτό). Μετά τη συγκέντρωση, ελέγχει τα όρια των συναγερμών σε περίπτωση που χρειαστεί να ενεργοποιήσει έναν. Σε αυτή την περίπτωση, το CloudWatch μπορεί να είναι έτοιμο να στείλει ένα γεγονός και να εκτελέσει κάποιες αυτόματες ενέργειες (λειτουργίες AWS lambda, θέματα SNS, ουρές SQS, ροές Kinesis)
Μπορείτε να εγκαταστήσετε πράκτορες μέσα στις μηχανές/δοχεία σας για να στέλνετε αυτόματα τις καταγραφές πίσω στο CloudWatch.
Δημιουργήστε έναν ρόλο και συνδέστε τον με το instance με δικαιώματα που επιτρέπουν στο CloudWatch να συλλέγει δεδομένα από τα instances εκτός από την αλληλεπίδραση με τον διαχειριστή συστημάτων AWS SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
Κατεβάστε και εγκαταστήστε τον πράκτορα στο EC2 instance (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Μπορείτε να το κατεβάσετε από μέσα στο EC2 ή να το εγκαταστήσετε αυτόματα χρησιμοποιώντας τον AWS System Manager επιλέγοντας το πακέτο AWS-ConfigureAWSPackage
Ρυθμίστε και εκκινήστε τον CloudWatch Agent
Μια ομάδα καταγραφών έχει πολλές ροές. Μια ροή έχει πολλά γεγονότα. Και μέσα σε κάθε ροή, τα γεγονότα διασφαλίζονται ότι είναι σε σειρά.
cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarmΈνας επιτιθέμενος με αυτές τις άδειες θα μπορούσε να υπονομεύσει σημαντικά την υποδομή παρακολούθησης και ειδοποίησης ενός οργανισμού. Διαγράφοντας υπάρχουσες ειδοποιήσεις, ένας επιτιθέμενος θα μπορούσε να απενεργοποιήσει κρίσιμες ειδοποιήσεις που ενημερώνουν τους διαχειριστές για κρίσιμα προβλήματα απόδοσης, παραβιάσεις ασφαλείας ή λειτουργικές αποτυχίες. Επιπλέον, δημιουργώντας ή τροποποιώντας ειδοποιήσεις μετρήσεων, ο επιτιθέμενος θα μπορούσε επίσης να παραπλανήσει τους διαχειριστές με ψευδείς ειδοποιήσεις ή να σιωπήσει νόμιμες ειδοποιήσεις, καλύπτοντας αποτελεσματικά κακόβουλες δραστηριότητες και αποτρέποντας έγκαιρες αντιδράσεις σε πραγματικά περιστατικά.
Επιπλέον, με την άδεια cloudwatch:PutCompositeAlarm, ένας επιτιθέμενος θα ήταν σε θέση να δημιουργήσει έναν βρόχο ή κύκλο σύνθετων ειδοποιήσεων, όπου η σύνθετη ειδοποίηση A εξαρτάται από τη σύνθετη ειδοποίηση B, και η σύνθετη ειδοποίηση B εξαρτάται επίσης από τη σύνθετη ειδοποίηση A. Σε αυτό το σενάριο, δεν είναι δυνατόν να διαγραφεί καμία σύνθετη ειδοποίηση που είναι μέρος του κύκλου, διότι πάντα υπάρχει μια σύνθετη ειδοποίηση που εξαρτάται από αυτήν την ειδοποίηση που θέλετε να διαγράψετε.
Το παρακάτω παράδειγμα δείχνει πώς να καταστήσετε μια μετρική ειδοποίηση αναποτελεσματική:
Αυτή η μετρική ειδοποίηση παρακολουθεί τη μέση χρήση CPU μιας συγκεκριμένης EC2 παρουσίας, αξιολογεί τη μετρική κάθε 300 δευτερόλεπτα και απαιτεί 6 περιόδους αξιολόγησης (30 λεπτά συνολικά). Εάν η μέση χρήση CPU υπερβαίνει το 60% για τουλάχιστον 4 από αυτές τις περιόδους, η ειδοποίηση θα ενεργοποιηθεί και θα στείλει μια ειδοποίηση στο καθορισμένο θέμα SNS.
Με την τροποποίηση του Threshold να είναι πάνω από 99%, ρυθμίζοντας την Περίοδο σε 10 δευτερόλεπτα, τις Περιόδους Αξιολόγησης σε 8640 (καθώς 8640 περίοδοι των 10 δευτερολέπτων ισούνται με 1 ημέρα), και τα Datapoints σε Alarm σε 8640 επίσης, θα ήταν απαραίτητο η χρήση CPU να είναι πάνω από 99% κάθε 10 δευτερόλεπτα καθ' όλη τη διάρκεια της 24ωρης περιόδου για να ενεργοποιηθεί μια ειδοποίηση.
Πιθανές Επιπτώσεις: Έλλειψη ειδοποιήσεων για κρίσιμα γεγονότα, πιθανές μη ανιχνευμένες προβλήματα, ψευδείς ειδοποιήσεις, καταστολή γνήσιων ειδοποιήσεων και πιθανώς χαμένες ανιχνεύσεις πραγματικών περιστατικών.
cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions , cloudwatch:SetAlarmStateΔιαγράφοντας τις ενέργειες συναγερμού, ο επιτιθέμενος θα μπορούσε να αποτρέψει κρίσιμες ειδοποιήσεις και αυτοματοποιημένες απαντήσεις από το να ενεργοποιηθούν όταν επιτευχθεί μια κατάσταση συναγερμού, όπως η ειδοποίηση των διαχειριστών ή η ενεργοποίηση δραστηριοτήτων αυτόματης κλιμάκωσης. Η ακατάλληλη ενεργοποίηση ή επανενεργοποίηση των ενεργειών συναγερμού θα μπορούσε επίσης να οδηγήσει σε απροσδόκητες συμπεριφορές, είτε επανενεργοποιώντας προηγουμένως απενεργοποιημένες ενέργειες είτε τροποποιώντας ποιες ενέργειες ενεργοποιούνται, προκαλώντας πιθανή σύγχυση και παραπλάνηση στην αντίδραση σε περιστατικά.
Επιπλέον, ένας επιτιθέμενος με την άδεια θα μπορούσε να χειριστεί τις καταστάσεις συναγερμού, έχοντας τη δυνατότητα να δημιουργήσει ψευδείς συναγερμούς για να αποσπάσει και να μπερδέψει τους διαχειριστές, ή να σιωπήσει γνήσιους συναγερμούς για να κρύψει συνεχιζόμενες κακόβουλες δραστηριότητες ή κρίσιμες αποτυχίες συστήματος.
Εάν χρησιμοποιήσετε SetAlarmState σε έναν σύνθετο συναγερμό, ο σύνθετος συναγερμός δεν είναι εγγυημένο ότι θα επιστρέψει στην πραγματική του κατάσταση. Επιστρέφει στην πραγματική του κατάσταση μόνο όταν αλλάξει η κατάσταση οποιουδήποτε από τα παιδικά του συναγερμούς. Επίσης, επαναξιολογείται εάν ενημερώσετε τη διαμόρφωσή του.
Πιθανές Επιπτώσεις: Έλλειψη ειδοποιήσεων για κρίσιμα γεγονότα, πιθανές μη ανιχνευμένες προβλήματα, ψευδείς ειδοποιήσεις, καταστολή γνήσιων ειδοποιήσεων και πιθανώς χαμένες ανιχνεύσεις πραγματικών περιστατικών.
cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetectorΈνας επιτιθέμενος θα μπορούσε να υπονομεύσει την ικανότητα ανίχνευσης και αντίδρασης σε ασυνήθιστα μοτίβα ή ανωμαλίες στα δεδομένα μετρήσεων. Διαγράφοντας υπάρχοντες ανιχνευτές ανωμαλιών, ένας επιτιθέμενος θα μπορούσε να απενεργοποιήσει κρίσιμους μηχανισμούς ειδοποίησης; και δημιουργώντας ή τροποποιώντας τους, θα μπορούσε είτε να παραμορφώσει τη ρύθμιση είτε να δημιουργήσει ψευδείς θετικές ανιχνεύσεις προκειμένου να αποσπάσει την προσοχή ή να κατακλύσει την παρακολούθηση.
Το παρακάτω παράδειγμα δείχνει πώς να καταστήσετε έναν ανιχνευτή ανωμαλιών μετρήσεων αναποτελεσματικό. Αυτός ο ανιχνευτής ανωμαλιών μετρήσεων παρακολουθεί τη μέση χρήση CPU μιας συγκεκριμένης EC2 παρουσίας, και απλά προσθέτοντας την παράμετρο “ExcludedTimeRanges” με την επιθυμητή χρονική περίοδο, θα ήταν αρκετό για να διασφαλιστεί ότι ο ανιχνευτής ανωμαλιών δεν αναλύει ή ειδοποιεί για οποιαδήποτε σχετική δεδομένα κατά τη διάρκεια αυτής της περιόδου.
Πιθανές Επιπτώσεις: Άμεσος αντίκτυπος στην ανίχνευση ασυνήθιστων προτύπων ή απειλών ασφαλείας.
cloudwatch:DeleteDashboards, cloudwatch:PutDashboardΈνας επιτιθέμενος θα μπορούσε να συμβιβάσει τις δυνατότητες παρακολούθησης και οπτικοποίησης μιας οργάνωσης δημιουργώντας, τροποποιώντας ή διαγράφοντας τους πίνακες ελέγχου της. Αυτές οι άδειες θα μπορούσαν να χρησιμοποιηθούν για να αφαιρεθεί η κρίσιμη ορατότητα στην απόδοση και την υγεία των συστημάτων, να τροποποιηθούν οι πίνακες ελέγχου για να εμφανίζουν λανθασμένα δεδομένα ή να κρύβουν κακόβουλες δραστηριότητες.
Πιθανές Επιπτώσεις: Απώλεια ορατότητας παρακολούθησης και παραπλανητικές πληροφορίες.
cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRuleΟι κανόνες insight χρησιμοποιούνται για την ανίχνευση ανωμαλιών, τη βελτιστοποίηση της απόδοσης και τη διαχείριση πόρων αποτελεσματικά. Διαγράφοντας υπάρχοντες κανόνες insight, ένας επιτιθέμενος θα μπορούσε να αφαιρέσει κρίσιμες δυνατότητες παρακολούθησης, αφήνοντας το σύστημα τυφλό σε ζητήματα απόδοσης και απειλές ασφαλείας. Επιπλέον, ένας επιτιθέμενος θα μπορούσε να δημιουργήσει ή να τροποποιήσει κανόνες insight για να παράγει παραπλανητικά δεδομένα ή να κρύψει κακόβουλες δραστηριότητες, οδηγώντας σε λανθασμένες διαγνώσεις και ακατάλληλες αντιδράσεις από την ομάδα λειτουργίας.
Πιθανές Επιπτώσεις: Δυσκολία στην ανίχνευση και αντίδραση σε προβλήματα απόδοσης και ανωμαλίες, παραπλανητική λήψη αποφάσεων και πιθανή απόκρυψη κακόβουλων δραστηριοτήτων ή αποτυχιών συστήματος.
cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRulesΑπενεργοποιώντας κρίσιμους κανόνες ανάλυσης, ένας επιτιθέμενος θα μπορούσε να τυφλώσει αποτελεσματικά τον οργανισμό σε βασικούς δείκτες απόδοσης και ασφάλειας. Αντίθετα, ενεργοποιώντας ή ρυθμίζοντας παραπλανητικούς κανόνες, θα μπορούσε να είναι δυνατό να παραχθούν ψευδή δεδομένα, να δημιουργηθεί θόρυβος ή να αποκρυφτεί κακόβουλη δραστηριότητα.
Πιθανές Επιπτώσεις: Σύγχυση στην ομάδα λειτουργίας, οδηγώντας σε καθυστερημένες αντιδράσεις σε πραγματικά ζητήματα και περιττές ενέργειες βάσει ψευδών ειδοποιήσεων.
cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricDataΈνας επιτιθέμενος με τα δικαιώματα cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream θα μπορούσε να δημιουργήσει και να διαγράψει ροές δεδομένων μετρήσεων, θέτοντας σε κίνδυνο την ασφάλεια, την παρακολούθηση και την ακεραιότητα των δεδομένων:
Δημιουργία κακόβουλων ροών: Δημιουργία ροών μετρήσεων για την αποστολή ευαίσθητων δεδομένων σε μη εξουσιοδοτημένους προορισμούς.
Εκμετάλλευση πόρων: Η δημιουργία νέων ροών μετρήσεων με υπερβολικά δεδομένα θα μπορούσε να παράγει πολύ θόρυβο, προκαλώντας λανθασμένες ειδοποιήσεις, καλύπτοντας αληθινά ζητήματα.
Διακοπή παρακολούθησης: Διαγράφοντας ροές μετρήσεων, οι επιτιθέμενοι θα διαταράξουν τη συνεχή ροή δεδομένων παρακολούθησης. Με αυτόν τον τρόπο, οι κακόβουλες δραστηριότητές τους θα κρύβονται αποτελεσματικά.
Ομοίως, με την άδεια cloudwatch:PutMetricData, θα ήταν δυνατό να προστεθούν δεδομένα σε μια ροή μετρήσεων. Αυτό θα μπορούσε να οδηγήσει σε DoS λόγω της ποσότητας ακατάλληλων δεδομένων που προστίθενται, καθιστώντας την εντελώς άχρηστη.
Παράδειγμα προσθήκης δεδομένων που αντιστοιχούν σε 70% χρησιμοποίησης CPU σε μια δεδομένη EC2 instance:
Πιθανές Επιπτώσεις: Διαταραχή στη ροή των δεδομένων παρακολούθησης, επηρεάζοντας την ανίχνευση ανωμαλιών και περιστατικών, χειρισμός πόρων και αύξηση κόστους λόγω της δημιουργίας υπερβολικών ροών μετρήσεων.
cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreamsΈνας επιτιθέμενος θα ελέγχει τη ροή των επηρεαζόμενων ροών δεδομένων μετρήσεων (κάθε ροή δεδομένων αν δεν υπάρχει περιορισμός πόρων). Με την άδεια cloudwatch:StopMetricStreams, οι επιτιθέμενοι θα μπορούσαν να κρύψουν τις κακόβουλες δραστηριότητές τους σταματώντας κρίσιμες ροές μετρήσεων.
Πιθανές Επιπτώσεις: Διακοπή στη ροή των δεδομένων παρακολούθησης, επηρεάζοντας την ανίχνευση ανωμαλιών και περιστατικών.
cloudwatch:TagResource, cloudwatch:UntagResourceΈνας επιτιθέμενος θα μπορούσε να προσθέσει, να τροποποιήσει ή να αφαιρέσει ετικέτες από τους πόρους του CloudWatch (προς το παρόν μόνο συναγερμούς και κανόνες Contributor Insights). Αυτό θα μπορούσε να διαταράξει τις πολιτικές ελέγχου πρόσβασης της οργάνωσής σας με βάση τις ετικέτες.
Πιθανές Επιπτώσεις: Διακοπή πολιτικών ελέγχου πρόσβασης με βάση τις ετικέτες.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
