AWS - S3 Post Exploitation
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
AWS - S3, Athena & Glacier EnumA volte sarai in grado di trovare informazioni sensibili leggibili nei bucket. Ad esempio, segreti dello stato di terraform.
Diverse piattaforme potrebbero utilizzare S3 per memorizzare asset sensibili. Ad esempio, airflow potrebbe memorizzare il codice DAG lì, o pagine web potrebbero essere servite direttamente da S3. Un attaccante con permessi di scrittura potrebbe modificare il codice dal bucket per pivotare verso altre piattaforme, o prendere il controllo degli account modificando i file JS.
In questo scenario, l'attaccante crea una chiave KMS (Key Management Service) nel proprio account AWS o in un altro account compromesso. Poi rende questa chiave accessibile a chiunque nel mondo, consentendo a qualsiasi utente, ruolo o account AWS di crittografare oggetti utilizzando questa chiave. Tuttavia, gli oggetti non possono essere decrittografati.
L'attaccante identifica un bucket S3 e ottiene accesso a livello di scrittura utilizzando vari metodi. Questo potrebbe essere dovuto a una cattiva configurazione del bucket che lo espone pubblicamente o all'accesso dell'attaccante all'ambiente AWS stesso. L'attaccante di solito prende di mira i bucket che contengono informazioni sensibili come informazioni identificabili personalmente (PII), informazioni sanitarie protette (PHI), log, backup e altro.
Per determinare se il bucket può essere preso di mira per ransomware, l'attaccante controlla la sua configurazione. Questo include la verifica se S3 Object Versioning è abilitato e se la cancellazione con autenticazione a più fattori (MFA delete) è abilitata. Se la Versioning degli Oggetti non è abilitata, l'attaccante può procedere. Se la Versioning degli Oggetti è abilitata ma la cancellazione MFA è disabilitata, l'attaccante può disabilitare la Versioning degli Oggetti. Se sia la Versioning degli Oggetti che la cancellazione MFA sono abilitate, diventa più difficile per l'attaccante ransomware quel specifico bucket.
Utilizzando l'API AWS, l'attaccante sostituisce ogni oggetto nel bucket con una copia crittografata utilizzando la propria chiave KMS. Questo crittografa effettivamente i dati nel bucket, rendendoli inaccessibili senza la chiave.
Per esercitare ulteriore pressione, l'attaccante programma la cancellazione della chiave KMS utilizzata nell'attacco. Questo dà al bersaglio una finestra di 7 giorni per recuperare i propri dati prima che la chiave venga cancellata e i dati diventino permanentemente persi.
Infine, l'attaccante potrebbe caricare un file finale, solitamente chiamato "ransom-note.txt", che contiene istruzioni per il bersaglio su come recuperare i propri file. Questo file viene caricato senza crittografia, probabilmente per attirare l'attenzione del bersaglio e farlo diventare consapevole dell'attacco ransomware.
Per ulteriori informazioni controlla la ricerca originale.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)