AWS - Macie Enum

AWS - Macie Enum

Support HackTricks

Macie

Amazon Macie는 AWS 계정 내 데이터를 자동으로 감지, 분류 및 식별하도록 설계된 서비스로 두드러집니다. 이는 기계 학습을 활용하여 데이터를 지속적으로 모니터링하고 분석하며, 주로 클라우드 트레일 이벤트 데이터와 사용자 행동 패턴을 검토하여 비정상적이거나 의심스러운 활동을 감지하고 경고하는 데 중점을 둡니다.

Amazon Macie의 주요 기능:

  1. 활성 데이터 검토: AWS 계정 내에서 다양한 작업이 발생할 때 기계 학습을 사용하여 데이터를 적극적으로 검토합니다.

  2. 이상 탐지: 비정상적인 활동이나 접근 패턴을 식별하여 잠재적인 데이터 노출 위험을 완화하기 위한 경고를 생성합니다.

  3. 지속적인 모니터링: Amazon S3의 새로운 데이터를 자동으로 모니터링하고 감지하며, 시간이 지남에 따라 데이터 접근 패턴에 적응하기 위해 기계 학습과 인공지능을 사용합니다.

  4. NLP를 통한 데이터 분류: 자연어 처리(NLP)를 활용하여 다양한 데이터 유형을 분류하고 해석하며, 발견 사항의 우선 순위를 매기기 위해 위험 점수를 할당합니다.

  5. 보안 모니터링: API 키, 비밀 키 및 개인 정보를 포함한 보안 민감 데이터를 식별하여 데이터 유출을 방지하는 데 도움을 줍니다.

Amazon Macie는 지역 서비스이며, 기능을 위해 'AWSMacieServiceCustomerSetupRole' IAM 역할과 활성화된 AWS CloudTrail이 필요합니다.

경고 시스템

Macie는 경고를 다음과 같은 미리 정의된 범주로 분류합니다:

  • 익명화된 접근

  • 데이터 준수

  • 자격 증명 손실

  • 권한 상승

  • 랜섬웨어

  • 의심스러운 접근 등

이 경고는 효과적인 대응 및 해결을 위한 자세한 설명과 결과 분석을 제공합니다.

대시보드 기능

대시보드는 데이터를 다양한 섹션으로 분류합니다:

  • S3 객체 (시간 범위, ACL, PII별)

  • 고위험 CloudTrail 이벤트/사용자

  • 활동 위치

  • CloudTrail 사용자 신원 유형 등.

사용자 분류

사용자는 API 호출의 위험 수준에 따라 계층으로 분류됩니다:

  • 플래티넘: 높은 위험의 API 호출, 종종 관리자 권한을 가진 경우.

  • 골드: 인프라 관련 API 호출.

  • 실버: 중간 위험의 API 호출.

  • 브론즈: 낮은 위험의 API 호출.

신원 유형

신원 유형에는 Root, IAM 사용자, 가정된 역할, 연합 사용자, AWS 계정 및 AWS 서비스가 포함되어 요청의 출처를 나타냅니다.

데이터 분류

데이터 분류는 다음을 포함합니다:

  • 콘텐츠 유형: 감지된 콘텐츠 유형에 따라.

  • 파일 확장자: 파일 확장자에 따라.

  • 주제: 파일 내 키워드에 따라 분류.

  • 정규 표현식: 특정 정규 표현식 패턴에 따라 분류.

이 카테고리 중 가장 높은 위험이 파일의 최종 위험 수준을 결정합니다.

연구 및 분석

Amazon Macie의 연구 기능은 모든 Macie 데이터에 대한 사용자 정의 쿼리를 허용하여 심층 분석을 수행합니다. 필터에는 CloudTrail 데이터, S3 버킷 속성 및 S3 객체가 포함됩니다. 또한, 다른 계정을 초대하여 Amazon Macie를 공유할 수 있어 협력적인 데이터 관리 및 보안 모니터링을 촉진합니다.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

공격자의 관점에서 이 서비스는 공격자를 탐지하기 위해 만들어진 것이 아니라 저장된 파일에서 민감한 정보를 탐지하기 위해 만들어졌습니다. 따라서 이 서비스는 공격자가 버킷 내에서 민감한 정보를 찾는 데 도움을 줄 수 있습니다. 그러나 공격자는 피해자가 경고를 받지 못하도록 방해하여 정보를 더 쉽게 훔치려 할 수도 있습니다.

TODO: PRs are welcome!

References

HackTricks 지원하기

Last updated