AWS - KMS Post Exploitation
KMS
Pour plus d'informations, consultez :
Chiffrer/Déchiffrer des informations
Notez que si vous souhaitez déchiffrer des données à l'intérieur d'un fichier, le fichier doit contenir les données binaires, et non des données encodées en base64.
Utiliser une clé symétrique
Utiliser une clé asymétrique :
KMS Ransomware
Un attaquant ayant un accès privilégié sur KMS pourrait modifier la politique KMS des clés et accorder à son compte l'accès à celles-ci, supprimant l'accès accordé au compte légitime.
Ainsi, les utilisateurs du compte légitime ne pourront accéder à aucune information de service qui a été chiffrée avec ces clés, créant un ransomware facile mais efficace sur le compte.
Notez que les clés gérées par AWS ne sont pas affectées par cette attaque, seulement les clés gérées par le client.
Notez également la nécessité d'utiliser le paramètre --bypass-policy-lockout-safety-check
(l'absence de cette option dans la console web rend cette attaque uniquement possible depuis la CLI).
Notez que si vous modifiez cette politique et que vous ne donnez l'accès qu'à un compte externe, puis que depuis ce compte externe vous essayez de définir une nouvelle politique pour redonner l'accès au compte d'origine, vous ne pourrez pas.
Ransomware KMS Générique
Ransomware KMS Global
Il existe une autre façon d'effectuer un ransomware KMS global, qui impliquerait les étapes suivantes :
Créer une nouvelle clé avec un matériel de clé importé par l'attaquant
Ré-encrypter les anciennes données chiffrées avec la version précédente avec la nouvelle.
Supprimer la clé KMS
Maintenant, seul l'attaquant, qui possède le matériel de clé d'origine, pourrait être en mesure de déchiffrer les données chiffrées
Détruire les clés
Notez qu'AWS empêche désormais les actions précédentes d'être effectuées à partir d'un compte croisé :
Last updated