AWS - S3 Post Exploitation
Last updated
Last updated
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Aby uzyskać więcej informacji, sprawdź:
Czasami będziesz w stanie znaleźć wrażliwe informacje w odczytywalnych zasobnikach. Na przykład, sekrety stanu terraform.
Różne platformy mogą używać S3 do przechowywania wrażliwych zasobów. Na przykład, airflow może przechowywać kod DAG w tym miejscu, lub strony internetowe mogą być bezpośrednio serwowane z S3. Atakujący z uprawnieniami do zapisu może zmodyfikować kod w zasobniku, aby przejść do innych platform lub przejąć konta, modyfikując pliki JS.
W tym scenariuszu atakujący tworzy klucz KMS (Key Management Service) w swoim własnym koncie AWS lub innym skompromitowanym koncie. Następnie udostępnia ten klucz każdemu na świecie, co pozwala każdemu użytkownikowi AWS, roli lub koncie na szyfrowanie obiektów za pomocą tego klucza. Jednak obiekty nie mogą być odszyfrowane.
Atakujący identyfikuje docelowy zasobnik S3 i uzyskuje dostęp na poziomie zapisu do niego, korzystając z różnych metod. Może to być spowodowane słabą konfiguracją zasobnika, która ujawnia go publicznie, lub atakujący uzyskuje dostęp do samego środowiska AWS. Atakujący zazwyczaj celuje w zasobniki, które zawierają wrażliwe informacje, takie jak dane osobowe (PII), chronione informacje zdrowotne (PHI), logi, kopie zapasowe i inne.
Aby ustalić, czy zasobnik może być celem dla ransomware, atakujący sprawdza jego konfigurację. Obejmuje to weryfikację, czy Wersjonowanie Obiektów S3 jest włączone i czy usunięcie z uwierzytelnieniem wieloskładnikowym (MFA delete) jest włączone. Jeśli Wersjonowanie Obiektów nie jest włączone, atakujący może kontynuować. Jeśli Wersjonowanie Obiektów jest włączone, ale MFA delete jest wyłączone, atakujący może wyłączyć Wersjonowanie Obiektów. Jeśli zarówno Wersjonowanie Obiektów, jak i MFA delete są włączone, staje się to trudniejsze dla atakującego, aby przeprowadzić ransomware na tym konkretnym zasobniku.
Korzystając z API AWS, atakujący zastępuje każdy obiekt w zasobniku zaszyfrowaną kopią przy użyciu swojego klucza KMS. To skutecznie szyfruje dane w zasobniku, czyniąc je niedostępnymi bez klucza.
Aby wywrzeć dodatkową presję, atakujący planuje usunięcie klucza KMS używanego w ataku. Daje to celowi 7-dniowy okres na odzyskanie danych przed usunięciem klucza i trwałą utratą danych.
Na koniec atakujący może przesłać ostatni plik, zazwyczaj nazwany "ransom-note.txt", który zawiera instrukcje dla celu, jak odzyskać swoje pliki. Plik ten jest przesyłany bez szyfrowania, prawdopodobnie aby przyciągnąć uwagę celu i uświadomić go o ataku ransomware.
Aby uzyskać więcej informacji sprawdź oryginalne badania.
Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)