Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aby uzyskać więcej informacji, sprawdź:
AWS - S3, Athena & Glacier EnumCzasami będziesz w stanie znaleźć wrażliwe informacje w odczytywalnych bucketach. Na przykład, sekrety stanu terraform.
Różne platformy mogą używać S3 do przechowywania wrażliwych zasobów. Na przykład, airflow może przechowywać kod DAG w tym miejscu, lub strony internetowe mogą być bezpośrednio serwowane z S3. Atakujący z uprawnieniami do zapisu może zmodyfikować kod z bucketa, aby przejść do innych platform lub przejąć konta, modyfikując pliki JS.
W tym scenariuszu atakujący tworzy klucz KMS (Key Management Service) w swoim własnym koncie AWS lub innym skompromitowanym koncie. Następnie udostępnia ten klucz każdemu na świecie, co pozwala każdemu użytkownikowi AWS, roli lub koncie na szyfrowanie obiektów za pomocą tego klucza. Jednak obiekty nie mogą być odszyfrowane.
Atakujący identyfikuje docelowy bucket S3 i uzyskuje dostęp na poziomie zapisu do niego, korzystając z różnych metod. Może to być spowodowane słabą konfiguracją bucketa, która ujawnia go publicznie, lub atakujący uzyskuje dostęp do samego środowiska AWS. Atakujący zazwyczaj celuje w buckety, które zawierają wrażliwe informacje, takie jak dane osobowe (PII), chronione informacje zdrowotne (PHI), logi, kopie zapasowe i inne.
Aby ustalić, czy bucket może być celem ransomware, atakujący sprawdza jego konfigurację. Obejmuje to weryfikację, czy S3 Object Versioning jest włączone i czy wieloskładnikowe usuwanie (MFA delete) jest włączone. Jeśli wersjonowanie obiektów nie jest włączone, atakujący może kontynuować. Jeśli wersjonowanie obiektów jest włączone, ale MFA delete jest wyłączone, atakujący może wyłączyć wersjonowanie obiektów. Jeśli zarówno wersjonowanie obiektów, jak i MFA delete są włączone, staje się to trudniejsze dla atakującego, aby przeprowadzić ransomware na tym konkretnym buckecie.
Korzystając z API AWS, atakujący zastępuje każdy obiekt w buckecie zaszyfrowaną kopią przy użyciu swojego klucza KMS. To skutecznie szyfruje dane w buckecie, czyniąc je niedostępnymi bez klucza.
Aby wywrzeć dodatkową presję, atakujący planuje usunięcie klucza KMS używanego w ataku. Daje to celowi 7-dniowy okres na odzyskanie danych przed usunięciem klucza i trwałą utratą danych.
Na koniec atakujący może przesłać ostatni plik, zazwyczaj nazwany "ransom-note.txt", który zawiera instrukcje dla celu, jak odzyskać swoje pliki. Ten plik jest przesyłany bez szyfrowania, prawdopodobnie aby przyciągnąć uwagę celu i uświadomić go o ataku ransomware.
Aby uzyskać więcej informacji sprawdź oryginalne badania.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
