AWS - S3 Post Exploitation
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Treinamento AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Treinamento GCP Red Team Expert (GRTE)
Para mais informações, confira:
AWS - S3, Athena & Glacier EnumÀs vezes, você poderá encontrar informações sensíveis legíveis nos buckets. Por exemplo, segredos do estado do terraform.
Diferentes plataformas podem estar usando S3 para armazenar ativos sensíveis. Por exemplo, airflow pode estar armazenando código de DAGs lá, ou páginas da web podem ser servidas diretamente do S3. Um atacante com permissões de escrita pode modificar o código do bucket para pivotar para outras plataformas ou assumir contas modificando arquivos JS.
Neste cenário, o atacante cria uma chave KMS (Key Management Service) em sua própria conta AWS ou em outra conta comprometida. Ele então torna essa chave acessível a qualquer pessoa no mundo, permitindo que qualquer usuário, função ou conta AWS criptografe objetos usando essa chave. No entanto, os objetos não podem ser descriptografados.
O atacante identifica um bucket S3 e ganha acesso em nível de escrita a ele usando vários métodos. Isso pode ser devido a uma configuração inadequada do bucket que o expõe publicamente ou o atacante ganhando acesso ao próprio ambiente AWS. O atacante geralmente visa buckets que contêm informações sensíveis, como informações pessoalmente identificáveis (PII), informações de saúde protegidas (PHI), logs, backups e mais.
Para determinar se o bucket pode ser alvo de ransomware, o atacante verifica sua configuração. Isso inclui verificar se S3 Object Versioning está habilitado e se a exclusão de autenticação multifatorial (MFA delete) está habilitada. Se a versão de objeto não estiver habilitada, o atacante pode prosseguir. Se a versão de objeto estiver habilitada, mas a exclusão MFA estiver desabilitada, o atacante pode desabilitar a versão de objeto. Se tanto a versão de objeto quanto a exclusão MFA estiverem habilitadas, torna-se mais difícil para o atacante aplicar ransomware a esse bucket específico.
Usando a API AWS, o atacante substitui cada objeto no bucket por uma cópia criptografada usando sua chave KMS. Isso efetivamente criptografa os dados no bucket, tornando-os inacessíveis sem a chave.
Para aumentar a pressão, o atacante agenda a exclusão da chave KMS usada no ataque. Isso dá ao alvo uma janela de 7 dias para recuperar seus dados antes que a chave seja excluída e os dados se tornem permanentemente perdidos.
Finalmente, o atacante pode fazer o upload de um arquivo final, geralmente chamado "ransom-note.txt", que contém instruções para o alvo sobre como recuperar seus arquivos. Este arquivo é enviado sem criptografia, provavelmente para chamar a atenção do alvo e torná-lo ciente do ataque de ransomware.
Para mais informações verifique a pesquisa original.
Aprenda e pratique Hacking AWS:HackTricks Treinamento AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Treinamento GCP Red Team Expert (GRTE)