AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Amazon Macie se destaca como um serviço projetado para detectar, classificar e identificar dados automaticamente dentro de uma conta AWS. Ele utiliza aprendizado de máquina para monitorar e analisar continuamente os dados, focando principalmente na detecção e alerta contra atividades incomuns ou suspeitas, examinando os dados de eventos de trilha na nuvem e padrões de comportamento do usuário.

Principais Recursos do Amazon Macie:

Revisão Ativa de Dados: Emprega aprendizado de máquina para revisar dados ativamente à medida que várias ações ocorrem dentro da conta AWS.
Detecção de Anomalias: Identifica atividades irregulares ou padrões de acesso, gerando alertas para mitigar riscos potenciais de exposição de dados.
Monitoramento Contínuo: Monitora e detecta automaticamente novos dados no Amazon S3, utilizando aprendizado de máquina e inteligência artificial para se adaptar aos padrões de acesso aos dados ao longo do tempo.
Classificação de Dados com NLP: Utiliza processamento de linguagem natural (NLP) para classificar e interpretar diferentes tipos de dados, atribuindo pontuações de risco para priorizar descobertas.
Monitoramento de Segurança: Identifica dados sensíveis à segurança, incluindo chaves de API, chaves secretas e informações pessoais, ajudando a prevenir vazamentos de dados.

Amazon Macie é um serviço regional e requer a função IAM 'AWSMacieServiceCustomerSetupRole' e um AWS CloudTrail habilitado para funcionalidade.

Sistema de Alertas

Macie categoriza alertas em categorias predefinidas, como:

Acesso anonimizado
Conformidade de dados
Perda de credenciais
Escalação de privilégios
Ransomware
Acesso suspeito, etc.

Esses alertas fornecem descrições detalhadas e análises de resultados para uma resposta e resolução eficazes.

Recursos do Painel

O painel categoriza dados em várias seções, incluindo:

Objetos S3 (por intervalo de tempo, ACL, PII)
Eventos/usuários de CloudTrail de alto risco
Locais de Atividade
Tipos de identidade de usuário do CloudTrail, e mais.

Classificação de Usuários

Os usuários são classificados em níveis com base no nível de risco de suas chamadas de API:

Platinum: Chamadas de API de alto risco, frequentemente com privilégios de administrador.
Gold: Chamadas de API relacionadas à infraestrutura.
Silver: Chamadas de API de risco médio.
Bronze: Chamadas de API de baixo risco.

Tipos de Identidade

Os tipos de identidade incluem Root, usuário IAM, Função Assumida, Usuário Federado, Conta AWS e Serviço AWS, indicando a origem das solicitações.

Classificação de Dados

A classificação de dados abrange:

Tipo de Conteúdo: Com base no tipo de conteúdo detectado.
Extensão de Arquivo: Com base na extensão do arquivo.
Tema: Classificado por palavras-chave dentro dos arquivos.
Regex: Classificado com base em padrões regex específicos.

O maior risco entre essas categorias determina o nível de risco final do arquivo.

Pesquisa e Análise

A função de pesquisa do Amazon Macie permite consultas personalizadas em todos os dados do Macie para análise aprofundada. Os filtros incluem Dados do CloudTrail, propriedades do Bucket S3 e Objetos S3. Além disso, suporta o convite de outras contas para compartilhar o Amazon Macie, facilitando a gestão colaborativa de dados e monitoramento de segurança.

Enumeração

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Pós Exploração

Do ponto de vista de um atacante, este serviço não é feito para detectar o atacante, mas para detectar informações sensíveis nos arquivos armazenados. Portanto, este serviço pode ajudar um atacante a encontrar informações sensíveis dentro dos buckets. No entanto, talvez um atacante também possa estar interessado em interrompê-lo para evitar que a vítima receba alertas e roube essas informações mais facilmente.

TODO: PRs são bem-vindas!

Referências

https://cloudacademy.com/blog/introducing-aws-security-hub/

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago