AWS - KMS Post Exploitation
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
詳細については、以下を確認してください:
fileb://
およびfile://
は、AWS CLIコマンドでローカルファイルへのパスを指定するために使用されるURIスキームです:
fileb://:
バイナリモードでファイルを読み取ります。通常、テキスト以外のファイルに使用されます。
file://:
テキストモードでファイルを読み取ります。通常、プレーンテキストファイル、スクリプト、または特別なエンコーディング要件のないJSONに使用されます。
ファイル内のデータを復号化したい場合、ファイルにはバイナリデータが含まれている必要があり、base64エンコードされたデータではないことに注意してください。(fileb://)
対称キーを使用して
非対称キーを使用する:
KMS に特権アクセスを持つ攻撃者は、キーの KMS ポリシーを変更し、自分のアカウントに対するアクセスを付与し、正当なアカウントに付与されたアクセスを削除することができます。
その結果、正当なアカウントのユーザーは、これらのキーで暗号化されたサービスの情報にアクセスできなくなり、アカウントに対して簡単だが効果的なランサムウェアを作成します。
AWS 管理キーはこの攻撃の影響を受けません。影響を受けるのは顧客管理キーのみです。
また、パラメータ --bypass-policy-lockout-safety-check
を使用する必要があることに注意してください(ウェブコンソールにこのオプションがないため、この攻撃は CLI からのみ可能です)。
注意してください。ポリシーを変更して外部アカウントにのみアクセスを与え、その外部アカウントから元のアカウントにアクセスを戻す新しいポリシーを設定しようとしても、できなくなります。
グローバルKMSランサムウェアを実行する別の方法があり、以下の手順が含まれます:
攻撃者によってインポートされたキー素材を持つ新しいキーを作成する
新しいキーで以前のバージョンで暗号化された古いデータを再暗号化する
KMSキーを削除する
これで、元のキー素材を持つ攻撃者だけが暗号化されたデータを復号化できるようになります
AWSは現在、クロスアカウントからの前述のアクションの実行を防止しています:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)