AWS - S3 Post Exploitation

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

S3

Per ulteriori informazioni controlla:

AWS - S3, Athena & Glacier Enum

Informazioni Sensibili

A volte sarà possibile trovare informazioni sensibili leggibili nei bucket. Ad esempio, segreti dello stato di terraform.

Pivoting

Diverse piattaforme potrebbero utilizzare S3 per memorizzare asset sensibili. Ad esempio, airflow potrebbe memorizzare il codice DAG lì, o pagine web potrebbero essere servite direttamente da S3. Un attaccante con permessi di scrittura potrebbe modificare il codice dal bucket per pivotare verso altre piattaforme, o prendere il controllo degli account modificando i file JS.

Ransomware S3

In questo scenario, l'attaccante crea una chiave KMS (Key Management Service) nel proprio account AWS o in un altro account compromesso. Poi rende questa chiave accessibile a chiunque nel mondo, consentendo a qualsiasi utente, ruolo o account AWS di crittografare oggetti utilizzando questa chiave. Tuttavia, gli oggetti non possono essere decrittografati.

L'attaccante identifica un bucket S3 target e ottiene accesso a livello di scrittura utilizzando vari metodi. Questo potrebbe essere dovuto a una cattiva configurazione del bucket che lo espone pubblicamente o all'accesso dell'attaccante all'ambiente AWS stesso. L'attaccante di solito prende di mira i bucket che contengono informazioni sensibili come informazioni identificabili personalmente (PII), informazioni sanitarie protette (PHI), log, backup e altro.

Per determinare se il bucket può essere preso di mira per ransomware, l'attaccante controlla la sua configurazione. Questo include la verifica se la Versioning degli Oggetti S3 è abilitata e se la cancellazione con autenticazione a più fattori (MFA delete) è abilitata. Se la Versioning degli Oggetti non è abilitata, l'attaccante può procedere. Se la Versioning degli Oggetti è abilitata ma la cancellazione MFA è disabilitata, l'attaccante può disabilitare la Versioning degli Oggetti. Se sia la Versioning degli Oggetti che la cancellazione MFA sono abilitate, diventa più difficile per l'attaccante eseguire ransomware su quel specifico bucket.

Utilizzando l'API AWS, l'attaccante sostituisce ogni oggetto nel bucket con una copia crittografata utilizzando la propria chiave KMS. Questo crittografa efficacemente i dati nel bucket, rendendoli inaccessibili senza la chiave.

Per esercitare ulteriore pressione, l'attaccante programma la cancellazione della chiave KMS utilizzata nell'attacco. Questo dà al target una finestra di 7 giorni per recuperare i propri dati prima che la chiave venga cancellata e i dati diventino permanentemente persi.

Infine, l'attaccante potrebbe caricare un file finale, solitamente chiamato "ransom-note.txt", che contiene istruzioni per il target su come recuperare i propri file. Questo file viene caricato senza crittografia, probabilmente per attirare l'attenzione del target e farlo diventare consapevole dell'attacco ransomware.

Per ulteriori informazioni controlla la ricerca originale.

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago