AWS - KMS Post Exploitation
Last updated
Last updated
Για περισσότερες πληροφορίες ελέγξτε:
Χρησιμοποιώντας ένα συμμετρικό κλειδί
Χρησιμοποιώντας ένα κλειδί ασύμμετρης κρυπτογράφησης:
Ένας επιτιθέμενος με προνομιούχη πρόσβαση στο KMS θα μπορούσε να τροποποιήσει την πολιτική των κλειδιών του KMS και να χορηγήσει πρόσβαση στο λογαριασμό του, αφαιρώντας την πρόσβαση που είχε χορηγηθεί στον νόμιμο λογαριασμό.
Στη συνέχεια, οι χρήστες του νόμιμου λογαριασμού δεν θα μπορούν να έχουν πρόσβαση σε οποιαδήποτε πληροφορία ή υπηρεσία που έχει κρυπτογραφηθεί με αυτά τα κλειδιά, δημιουργώντας ένα απλό αλλά αποτελεσματικό ransomware στον λογαριασμό.
Σημειώστε ότι τα διαχειριζόμενα κλειδιά του AWS δεν επηρεάζονται από αυτήν την επίθεση, μόνο τα κλειδιά που διαχειρίζεται ο πελάτης.
Επίσης, σημειώστε την ανάγκη χρήσης της παραμέτρου --bypass-policy-lockout-safety-check
(η έλλειψη αυτής της επιλογής στον ιστότοπο κονσόλας κάνει αυτήν την επίθεση δυνατή μόνο μέσω της γραμμής εντολών).
Σημειώστε ότι αν αλλάξετε αυτήν την πολιτική και δώσετε πρόσβαση μόνο σε ένα εξωτερικό λογαριασμό, και στη συνέχεια από αυτόν τον εξωτερικό λογαριασμό προσπαθήσετε να ορίσετε μια νέα πολιτική για να δώσετε ξανά πρόσβαση στον αρχικό λογαριασμό, δεν θα μπορέσετε.
Υπάρχει ένας άλλος τρόπος για να πραγματοποιηθεί μια παγκόσμια Κρυπτογράφησης KMS Ransomware, ο οποίος θα περιλαμβάνει τα ακόλουθα βήματα:
Δημιουργία ενός νέου κλειδιού με υλικό κλειδιού που εισήχθη από τον εισβολέα
Επαν-κρυπτογράφηση παλαιότερων δεδομένων που έχουν κρυπτογραφηθεί με την προηγούμενη έκδοση με τη νέα.
Διαγραφή του KMS κλειδιού
Τώρα μόνο ο εισβολέας, που έχει το αρχικό υλικό κλειδιού, θα μπορούσε να αποκρυπτογραφήσει τα κρυπτογραφημένα δεδομένα
Σημειώστε ότι η AWS τώρα εμποδίζει τις προηγούμενες ενέργειες από να πραγματοποιούνται από διαφορετικό λογαριασμό: