AWS - KMS Post Exploitation
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
AWS - KMS Enumfileb://
e file://
sono schemi URI utilizzati nei comandi AWS CLI per specificare il percorso ai file locali:
fileb://:
Legge il file in modalità binaria, comunemente usato per file non di testo.
file://:
Legge il file in modalità testo, tipicamente usato per file di testo semplice, script o JSON che non ha requisiti di codifica speciali.
Nota che se vuoi decrittografare alcuni dati all'interno di un file, il file deve contenere i dati binari, non dati codificati in base64. (fileb://)
Utilizzando una chiave simmetrica
Utilizzando una chiave asimmetrica:
Un attaccante con accesso privilegiato su KMS potrebbe modificare la politica KMS delle chiavi e concedere al proprio account accesso su di esse, rimuovendo l'accesso concesso all'account legittimo.
Quindi, gli utenti dell'account legittimo non saranno in grado di accedere a nessuna informazione di alcun servizio che è stato crittografato con quelle chiavi, creando un ransomware facile ma efficace sull'account.
Nota che le chiavi gestite da AWS non sono colpite da questo attacco, solo le chiavi gestite dal cliente.
Nota anche la necessità di utilizzare il parametro --bypass-policy-lockout-safety-check
(l'assenza di questa opzione nella console web rende questo attacco possibile solo dalla CLI).
Nota che se cambi quella policy e dai accesso solo a un account esterno, e poi da questo account esterno provi a impostare una nuova policy per ridare accesso all'account originale, non sarai in grado.
C'è un altro modo per eseguire un ransomware KMS globale, che comporterebbe i seguenti passaggi:
Creare una nuova chiave con un materiale di chiave importato dall'attaccante
Ri-criptare i dati più vecchi crittografati con la versione precedente con la nuova.
Eliminare la chiave KMS
Ora solo l'attaccante, che ha il materiale di chiave originale, potrebbe essere in grado di decrittografare i dati crittografati
Nota che AWS ora prevenire che le azioni precedenti vengano eseguite da un account diverso:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)