AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Το Amazon Macie ξεχωρίζει ως μια υπηρεσία που έχει σχεδιαστεί για να ανιχνεύει, κατηγοριοποιεί και αναγνωρίζει δεδομένα αυτόματα εντός ενός λογαριασμού AWS. Εκμεταλλεύεται μηχανική μάθηση για να παρακολουθεί και να αναλύει συνεχώς τα δεδομένα, εστιάζοντας κυρίως στην ανίχνευση και την ειδοποίηση για ασυνήθιστες ή ύποπτες δραστηριότητες, εξετάζοντας τα δεδομένα cloud trail event και τα πρότυπα συμπεριφοράς των χρηστών.

Βασικά Χαρακτηριστικά του Amazon Macie:

Ενεργή Ανασκόπηση Δεδομένων: Χρησιμοποιεί μηχανική μάθηση για να ανασκοπεί ενεργά τα δεδομένα καθώς διάφορες ενέργειες συμβαίνουν εντός του λογαριασμού AWS.
Ανίχνευση Ανωμαλιών: Αναγνωρίζει ανώμαλες δραστηριότητες ή πρότυπα πρόσβασης, δημιουργώντας ειδοποιήσεις για να μετριάσει τους πιθανούς κινδύνους έκθεσης δεδομένων.
Συνεχής Παρακολούθηση: Παρακολουθεί και ανιχνεύει αυτόματα νέα δεδομένα στο Amazon S3, χρησιμοποιώντας μηχανική μάθηση και τεχνητή νοημοσύνη για να προσαρμόζεται στα πρότυπα πρόσβασης δεδομένων με την πάροδο του χρόνου.
Κατηγοριοποίηση Δεδομένων με NLP: Χρησιμοποιεί επεξεργασία φυσικής γλώσσας (NLP) για να κατηγοριοποιήσει και να ερμηνεύσει διάφορους τύπους δεδομένων, αναθέτοντας βαθμούς κινδύνου για να προτεραιοποιήσει τα ευρήματα.
Παρακολούθηση Ασφαλείας: Αναγνωρίζει ευαίσθητα δεδομένα ασφαλείας, συμπεριλαμβανομένων των κλειδιών API, των μυστικών κλειδιών και των προσωπικών πληροφοριών, βοηθώντας στην πρόληψη διαρροών δεδομένων.

Το Amazon Macie είναι μια περιφερειακή υπηρεσία και απαιτεί τον ρόλο IAM 'AWSMacieServiceCustomerSetupRole' και ενεργοποιημένο AWS CloudTrail για τη λειτουργικότητά του.

Σύστημα Ειδοποιήσεων

Το Macie κατηγοριοποιεί τις ειδοποιήσεις σε προκαθορισμένες κατηγορίες όπως:

Ανωνυμοποιημένη πρόσβαση
Συμμόρφωση δεδομένων
Απώλεια διαπιστευτηρίων
Κλιμάκωση προνομίων
Ransomware
Ύποπτη πρόσβαση, κ.λπ.

Αυτές οι ειδοποιήσεις παρέχουν λεπτομερείς περιγραφές και αναλύσεις αποτελεσμάτων για αποτελεσματική αντίδραση και επίλυση.

Χαρακτηριστικά Πίνακα Ελέγχου

Ο πίνακας ελέγχου κατηγοριοποιεί τα δεδομένα σε διάφορες ενότητες, συμπεριλαμβανομένων:

Αντικείμενα S3 (κατά χρονικό διάστημα, ACL, PII)
Υψηλού κινδύνου γεγονότα/χρήστες CloudTrail
Τοποθεσίες δραστηριότητας
Τύποι ταυτότητας χρηστών CloudTrail, και άλλα.

Κατηγοριοποίηση Χρηστών

Οι χρήστες κατηγοριοποιούνται σε επίπεδα με βάση το επίπεδο κινδύνου των κλήσεων API τους:

Platinum: Υψηλού κινδύνου κλήσεις API, συχνά με προνόμια διαχειριστή.
Gold: Κλήσεις API σχετικές με υποδομές.
Silver: Κλήσεις API μέσου κινδύνου.
Bronze: Κλήσεις API χαμηλού κινδύνου.

Τύποι Ταυτότητας

Οι τύποι ταυτότητας περιλαμβάνουν Root, IAM user, Assumed Role, Federated User, AWS Account και AWS Service, υποδεικνύοντας την πηγή των αιτημάτων.

Κατηγοριοποίηση Δεδομένων

Η κατηγοριοποίηση δεδομένων περιλαμβάνει:

Content-Type: Βασισμένο στον ανιχνευθέντα τύπο περιεχομένου.
File Extension: Βασισμένο στην επέκταση αρχείου.
Theme: Κατηγοριοποιημένο με βάση λέξεις-κλειδιά εντός των αρχείων.
Regex: Κατηγοριοποιημένο με βάση συγκεκριμένα πρότυπα regex.

Ο υψηλότερος κίνδυνος μεταξύ αυτών των κατηγοριών καθορίζει το τελικό επίπεδο κινδύνου του αρχείου.

Έρευνα και Ανάλυση

Η λειτουργία έρευνας του Amazon Macie επιτρέπει προσαρμοσμένα ερωτήματα σε όλα τα δεδομένα Macie για σε βάθος ανάλυση. Οι φίλτροι περιλαμβάνουν δεδομένα CloudTrail, ιδιότητες S3 Bucket και αντικείμενα S3. Επιπλέον, υποστηρίζει την πρόσκληση άλλων λογαριασμών για να μοιραστούν το Amazon Macie, διευκολύνοντας τη συνεργατική διαχείριση δεδομένων και την παρακολούθηση ασφάλειας.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

Από την οπτική γωνία ενός επιτιθέμενου, αυτή η υπηρεσία δεν έχει σχεδιαστεί για να ανιχνεύει τον επιτιθέμενο, αλλά για να ανιχνεύει ευαίσθητες πληροφορίες στα αποθηκευμένα αρχεία. Επομένως, αυτή η υπηρεσία μπορεί να βοηθήσει έναν επιτιθέμενο να βρει ευαίσθητες πληροφορίες μέσα στους κάδους. Ωστόσο, ίσως ένας επιτιθέμενος να ενδιαφέρεται επίσης να την διαταράξει προκειμένου να αποτρέψει το θύμα από το να λάβει ειδοποιήσεις και να κλέψει αυτές τις πληροφορίες πιο εύκολα.

TODO: PRs are welcome!

References

https://cloudacademy.com/blog/introducing-aws-security-hub/

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 3 days ago