AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Amazon Macieは、AWSアカウント内のデータを自動的に検出、分類、特定するために設計されたサービスです。機械学習を活用してデータを継続的に監視・分析し、主にクラウドトレイルイベントデータやユーザー行動パターンを調査することで、異常または疑わしい活動を検出し、警告を発します。

Amazon Macieの主な機能：

アクティブデータレビュー：AWSアカウント内でさまざまなアクションが発生する際に、機械学習を用いてデータを積極的にレビューします。
異常検出：不規則な活動やアクセスパターンを特定し、潜在的なデータ露出リスクを軽減するための警告を生成します。
継続的監視：Amazon S3内の新しいデータを自動的に監視・検出し、時間の経過とともにデータアクセスパターンに適応するために機械学習と人工知能を使用します。
NLPによるデータ分類：自然言語処理（NLP）を利用して異なるデータタイプを分類・解釈し、リスクスコアを割り当てて発見の優先順位を付けます。
セキュリティ監視：APIキー、シークレットキー、個人情報などのセキュリティに敏感なデータを特定し、データ漏洩を防ぐ手助けをします。

Amazon Macieは地域サービスであり、機能には「AWSMacieServiceCustomerSetupRole」IAMロールと有効なAWS CloudTrailが必要です。

アラートシステム

Macieはアラートを以下のような事前定義されたカテゴリに分類します：

匿名化されたアクセス
データコンプライアンス
認証情報の喪失
権限の昇格
ランサムウェア
疑わしいアクセスなど

これらのアラートは、効果的な対応と解決のための詳細な説明と結果の内訳を提供します。

ダッシュボード機能

ダッシュボードはデータをさまざまなセクションに分類します：

S3オブジェクト（時間範囲、ACL、PIIによる）
高リスクのCloudTrailイベント/ユーザー
アクティビティの場所
CloudTrailユーザーIDタイプなど。

ユーザー分類

ユーザーはAPIコールのリスクレベルに基づいて階層に分類されます：

プラチナ：高リスクのAPIコール、しばしば管理者権限を持つ。
ゴールド：インフラ関連のAPIコール。
シルバー：中リスクのAPIコール。
ブロンズ：低リスクのAPIコール。

アイデンティティタイプ

アイデンティティタイプには、Root、IAMユーザー、仮想ロール、フェデレーテッドユーザー、AWSアカウント、AWSサービスが含まれ、リクエストのソースを示します。

データ分類

データ分類には以下が含まれます：

コンテンツタイプ：検出されたコンテンツタイプに基づく。
ファイル拡張子：ファイル拡張子に基づく。
テーマ：ファイル内のキーワードによって分類される。
正規表現：特定の正規表現パターンに基づいて分類される。

これらのカテゴリの中で最も高いリスクがファイルの最終リスクレベルを決定します。

研究と分析

Amazon Macieの研究機能は、すべてのMacieデータに対してカスタムクエリを実行し、詳細な分析を可能にします。フィルターにはCloudTrailデータ、S3バケットプロパティ、S3オブジェクトが含まれます。さらに、他のアカウントを招待してAmazon Macieを共有することをサポートし、共同データ管理とセキュリティ監視を促進します。

列挙

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

ポストエクスプロイテーション

攻撃者の視点から見ると、このサービスは攻撃者を検出するためではなく、保存されたファイル内の機密情報を検出するために作られています。したがって、このサービスは攻撃者がバケット内の機密情報を見つけるのを助けるかもしれません。しかし、攻撃者は被害者がアラートを受け取るのを防ぎ、その情報をより簡単に盗むために、これを妨害することにも興味があるかもしれません。

TODO: PRs are welcome!

参考文献

https://cloudacademy.com/blog/introducing-aws-security-hub/

AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する: HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago