AWS - S3 Post Exploitation

Wsparcie HackTricks

S3

Aby uzyskać więcej informacji, sprawdź:

Wrażliwe informacje

Czasami będziesz w stanie znaleźć wrażliwe informacje w odczytywalnych zasobnikach. Na przykład, sekrety stanu terraform.

Pivoting

Różne platformy mogą używać S3 do przechowywania wrażliwych zasobów. Na przykład, airflow może przechowywać kod DAG w tym miejscu, lub strony internetowe mogą być bezpośrednio serwowane z S3. Atakujący z uprawnieniami do zapisu może zmodyfikować kod w zasobniku, aby przejść do innych platform lub przejąć konta, modyfikując pliki JS.

Ransomware S3

W tym scenariuszu atakujący tworzy klucz KMS (Key Management Service) w swoim własnym koncie AWS lub innym skompromitowanym koncie. Następnie udostępnia ten klucz każdemu na świecie, co pozwala każdemu użytkownikowi AWS, roli lub koncie na szyfrowanie obiektów za pomocą tego klucza. Jednak obiekty nie mogą być odszyfrowane.

Atakujący identyfikuje docelowy zasobnik S3 i uzyskuje dostęp na poziomie zapisu do niego, korzystając z różnych metod. Może to być spowodowane słabą konfiguracją zasobnika, która ujawnia go publicznie, lub atakujący uzyskuje dostęp do samego środowiska AWS. Atakujący zazwyczaj celuje w zasobniki, które zawierają wrażliwe informacje, takie jak dane osobowe (PII), chronione informacje zdrowotne (PHI), logi, kopie zapasowe i inne.

Aby ustalić, czy zasobnik może być celem ransomware, atakujący sprawdza jego konfigurację. Obejmuje to weryfikację, czy S3 Object Versioning jest włączone i czy wieloskładnikowe usuwanie (MFA delete) jest włączone. Jeśli wersjonowanie obiektów nie jest włączone, atakujący może kontynuować. Jeśli wersjonowanie obiektów jest włączone, ale MFA delete jest wyłączone, atakujący może wyłączyć wersjonowanie obiektów. Jeśli zarówno wersjonowanie obiektów, jak i MFA delete są włączone, staje się to trudniejsze dla atakującego, aby przeprowadzić ransomware na tym konkretnym zasobniku.

Korzystając z API AWS, atakujący zastępuje każdy obiekt w zasobniku zaszyfrowaną kopią przy użyciu swojego klucza KMS. To skutecznie szyfruje dane w zasobniku, czyniąc je niedostępnymi bez klucza.

Aby wywrzeć dodatkową presję, atakujący planuje usunięcie klucza KMS używanego w ataku. Daje to celowi 7-dniowy okres na odzyskanie danych przed usunięciem klucza i trwałą utratą danych.

Na koniec atakujący może przesłać ostatni plik, zazwyczaj nazwany "ransom-note.txt", który zawiera instrukcje dla celu, jak odzyskać swoje pliki. Ten plik jest przesyłany bez szyfrowania, prawdopodobnie aby przyciągnąć uwagę celu i uświadomić go o ataku ransomware.

Aby uzyskać więcej informacji sprawdź oryginalne badania.

Wsparcie HackTricks

Last updated