AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Amazon Macie wyróżnia się jako usługa zaprojektowana do automatycznego wykrywania, klasyfikowania i identyfikowania danych w ramach konta AWS. Wykorzystuje uczenie maszynowe do ciągłego monitorowania i analizowania danych, koncentrując się głównie na wykrywaniu i ostrzeganiu przed nietypowymi lub podejrzanymi działaniami poprzez badanie danych zdarzeń cloud trail oraz wzorców zachowań użytkowników.

Kluczowe funkcje Amazon Macie:

Aktywna recenzja danych: Wykorzystuje uczenie maszynowe do aktywnej recenzji danych w miarę występowania różnych działań w ramach konta AWS.
Wykrywanie anomalii: Identyfikuje nieregularne działania lub wzorce dostępu, generując alerty w celu złagodzenia potencjalnych ryzyk związanych z ujawnieniem danych.
Ciągłe monitorowanie: Automatycznie monitoruje i wykrywa nowe dane w Amazon S3, wykorzystując uczenie maszynowe i sztuczną inteligencję do dostosowywania się do wzorców dostępu do danych w czasie.
Klasyfikacja danych z NLP: Wykorzystuje przetwarzanie języka naturalnego (NLP) do klasyfikacji i interpretacji różnych typów danych, przypisując wyniki ryzyka w celu priorytetyzacji ustaleń.
Monitorowanie bezpieczeństwa: Identyfikuje dane wrażliwe na bezpieczeństwo, w tym klucze API, klucze tajne i informacje osobiste, pomagając zapobiegać wyciekom danych.

Amazon Macie jest usługą regionalną i wymaga roli IAM 'AWSMacieServiceCustomerSetupRole' oraz włączonego AWS CloudTrail do działania.

System powiadomień

Macie klasyfikuje alerty w predefiniowane kategorie, takie jak:

Anonimizowany dostęp
Zgodność z danymi
Utrata poświadczeń
Eskalacja uprawnień
Ransomware
Podejrzany dostęp, itd.

Te alerty dostarczają szczegółowych opisów i analiz wyników dla skutecznej reakcji i rozwiązania problemu.

Funkcje pulpitu nawigacyjnego

Pulpit nawigacyjny klasyfikuje dane w różnych sekcjach, w tym:

Obiekty S3 (według zakresu czasowego, ACL, PII)
Wydarzenia/użytkownicy CloudTrail o wysokim ryzyku
Miejsca aktywności
Typy tożsamości użytkowników CloudTrail i inne.

Klasyfikacja użytkowników

Użytkownicy są klasyfikowani w poziomach na podstawie poziomu ryzyka ich wywołań API:

Platinum: Wywołania API o wysokim ryzyku, często z uprawnieniami administratora.
Gold: Wywołania API związane z infrastrukturą.
Silver: Wywołania API o średnim ryzyku.
Bronze: Wywołania API o niskim ryzyku.

Typy tożsamości

Typy tożsamości obejmują Root, użytkownik IAM, przyjęta rola, użytkownik federowany, konto AWS i usługa AWS, wskazując źródło żądań.

Klasyfikacja danych

Klasyfikacja danych obejmuje:

Typ zawartości: Na podstawie wykrytego typu zawartości.
Rozszerzenie pliku: Na podstawie rozszerzenia pliku.
Temat: Klasyfikowane według słów kluczowych w plikach.
Regex: Klasyfikowane na podstawie określonych wzorców regex.

Najwyższe ryzyko wśród tych kategorii określa ostateczny poziom ryzyka pliku.

Badania i analiza

Funkcja badawcza Amazon Macie umożliwia niestandardowe zapytania w całych danych Macie w celu przeprowadzenia dogłębnej analizy. Filtry obejmują dane CloudTrail, właściwości koszyków S3 i obiekty S3. Ponadto wspiera zapraszanie innych kont do współdzielenia Amazon Macie, ułatwiając współpracę w zarządzaniu danymi i monitorowaniu bezpieczeństwa.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

Z perspektywy atakującego, ta usługa nie jest stworzona do wykrywania atakującego, ale do wykrywania wrażliwych informacji w przechowywanych plikach. Dlatego ta usługa może pomóc atakującemu w znalezieniu wrażliwych informacji w bucketach. Jednakże, być może atakujący mógłby być również zainteresowany zakłóceniem jej działania, aby uniemożliwić ofierze otrzymywanie powiadomień i łatwiejsze kradzież tych informacji.

TODO: PRs are welcome!

References

https://cloudacademy.com/blog/introducing-aws-security-hub/

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago