AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Amazon Macie se distingue comme un service conçu pour détecter, classer et identifier automatiquement les données au sein d'un compte AWS. Il utilise l'apprentissage automatique pour surveiller et analyser en continu les données, se concentrant principalement sur la détection et l'alerte contre des activités inhabituelles ou suspectes en examinant les données des événements CloudTrail et les modèles de comportement des utilisateurs.

Caractéristiques clés d'Amazon Macie :

Revue active des données : Utilise l'apprentissage automatique pour examiner activement les données à mesure que diverses actions se produisent au sein du compte AWS.
Détection d'anomalies : Identifie les activités ou les modèles d'accès irréguliers, générant des alertes pour atténuer les risques potentiels d'exposition des données.
Surveillance continue : Surveille et détecte automatiquement les nouvelles données dans Amazon S3, utilisant l'apprentissage automatique et l'intelligence artificielle pour s'adapter aux modèles d'accès aux données au fil du temps.
Classification des données avec le NLP : Utilise le traitement du langage naturel (NLP) pour classer et interpréter différents types de données, attribuant des scores de risque pour prioriser les résultats.
Surveillance de la sécurité : Identifie les données sensibles à la sécurité, y compris les clés API, les clés secrètes et les informations personnelles, aidant à prévenir les fuites de données.

Amazon Macie est un service régional et nécessite le rôle IAM 'AWSMacieServiceCustomerSetupRole' et un AWS CloudTrail activé pour fonctionner.

Système d'alerte

Macie catégorise les alertes en catégories prédéfinies telles que :

Accès anonymisé
Conformité des données
Perte d'identifiants
Escalade de privilèges
Ransomware
Accès suspect, etc.

Ces alertes fournissent des descriptions détaillées et des analyses des résultats pour une réponse et une résolution efficaces.

Fonctionnalités du tableau de bord

Le tableau de bord catégorise les données en différentes sections, y compris :

Objets S3 (par plage de temps, ACL, PII)
Événements/utilisateurs CloudTrail à haut risque
Lieux d'activité
Types d'identité des utilisateurs CloudTrail, et plus encore.

Catégorisation des utilisateurs

Les utilisateurs sont classés en niveaux en fonction du niveau de risque de leurs appels API :

Platine : Appels API à haut risque, souvent avec des privilèges d'administrateur.
Or : Appels API liés à l'infrastructure.
Argent : Appels API à risque moyen.
Bronze : Appels API à faible risque.

Types d'identité

Les types d'identité incluent Root, utilisateur IAM, rôle assumé, utilisateur fédéré, compte AWS et service AWS, indiquant la source des demandes.

Classification des données

La classification des données englobe :

Type de contenu : Basé sur le type de contenu détecté.
Extension de fichier : Basé sur l'extension de fichier.
Thème : Catégorisé par des mots-clés dans les fichiers.
Regex : Catégorisé en fonction de modèles regex spécifiques.

Le risque le plus élevé parmi ces catégories détermine le niveau de risque final du fichier.

Recherche et analyse

La fonction de recherche d'Amazon Macie permet des requêtes personnalisées sur toutes les données Macie pour une analyse approfondie. Les filtres incluent les données CloudTrail, les propriétés des buckets S3 et les objets S3. De plus, elle prend en charge l'invitation d'autres comptes à partager Amazon Macie, facilitant la gestion collaborative des données et la surveillance de la sécurité.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

Du point de vue d'un attaquant, ce service n'est pas conçu pour détecter l'attaquant, mais pour détecter des informations sensibles dans les fichiers stockés. Par conséquent, ce service pourrait aider un attaquant à trouver des informations sensibles à l'intérieur des buckets. Cependant, peut-être qu'un attaquant pourrait également être intéressé à le perturber afin d'empêcher la victime de recevoir des alertes et de voler ces informations plus facilement.

TODO: Les PRs sont les bienvenus !

Références

https://cloudacademy.com/blog/introducing-aws-security-hub/

Soutenir HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PRs aux HackTricks et HackTricks Cloud dépôts github.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 3 days ago