AWS - S3 Post Exploitation

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

S3

Za više informacija pogledajte:

AWS - S3, Athena & Glacier Enum

Osetljive Informacije

Ponekad ćete moći pronaći osetljive informacije koje su čitljive u bucket-ima. Na primer, tajne stanja terraform-a.

Pivoting

Različite platforme mogu koristiti S3 za skladištenje osetljivih resursa. Na primer, airflow bi mogao skladištiti kôd DAG-ova tamo, ili veb stranice bi mogle direktno biti poslužene iz S3. Napadač sa dozvolama za pisanje bi mogao modifikovati kôd iz bucket-a da bi prešao na druge platforme, ili preuzeo naloge modifikujući JS fajlove.

S3 Ransomware

U ovom scenariju, napadač kreira KMS (Key Management Service) ključ u svom AWS nalogu ili drugom kompromitovanom nalogu. Zatim ovaj ključ postaje dostupan svima u svetu, omogućavajući bilo kom AWS korisniku, roli ili nalogu da enkriptuje objekte koristeći ovaj ključ. Međutim, objekti ne mogu biti dekriptovani.

Napadač identifikuje ciljni S3 bucket i dobija pristup nivou pisanja koristeći različite metode. To može biti zbog loše konfiguracije bucket-a koja ga izlaže javno ili napadač dobija pristup samom AWS okruženju. Napadač obično cilja bucket-e koji sadrže osetljive informacije kao što su lično prepoznatljive informacije (PII), zaštićene zdravstvene informacije (PHI), logove, rezervne kopije i još mnogo toga.

Da bi utvrdio da li se bucket može ciljati ransomware-om, napadač proverava njegovu konfiguraciju. To uključuje proveru da li je omogućeno S3 verzionisanje objekata i da li je omogućeno brisanje sa više faktora autentifikacije (MFA delete). Ako verzionisanje objekata nije omogućeno, napadač može nastaviti. Ako je verzionisanje objekata omogućeno ali je MFA delete onemogućen, napadač može onemogućiti verzionisanje objekata. Ako su i verzionisanje objekata i MFA delete omogućeni, postaje teže za napadača da ransomware-uje taj specifični bucket.

Koristeći AWS API, napadač zamenjuje svaki objekat u bucket-u enkriptovanom kopijom koristeći svoj KMS ključ. Ovo efikasno enkriptuje podatke u bucket-u, čineći ih nedostupnim bez ključa.

Da bi dodao dodatan pritisak, napadač zakazuje brisanje KMS ključa korištenog u napadu. Ovo daje cilju prozor od 7 dana da povrati svoje podatke pre nego što ključ bude obrisan i podaci postanu trajno izgubljeni.

Na kraju, napadač bi mogao da otpremi konačni fajl, obično nazvan "ransom-note.txt," koji sadrži instrukcije za cilj kako da povrati svoje fajlove. Ovaj fajl se otprema bez enkripcije, verovatno da bi privukao pažnju cilja i obavestio ih o ransomware napadu.

Za više informacija proverite originalno istraživanje.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Last updated