AWS - Macie Enum

AWS - Macie Enum

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Macie

Amazon Macie se ističe kao usluga dizajnirana za automatsko otkrivanje, klasifikaciju i identifikaciju podataka unutar AWS naloga. Koristi mašinsko učenje za kontinuirano praćenje i analizu podataka, uglavnom fokusirajući se na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti pregledanjem podataka o događajima u oblaku i obrazaca ponašanja korisnika.

Ključne funkcionalnosti Amazon Macie:

  1. Aktivna recenzija podataka: Koristi mašinsko učenje za aktivno pregledanje podataka tokom različitih akcija u AWS nalogu.

  2. Otkrivanje anomalija: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja radi smanjenja potencijalnih rizika izloženosti podataka.

  3. Kontinuirano praćenje: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju za prilagođavanje obrascima pristupa podacima tokom vremena.

  4. Klasifikacija podataka pomoću NLP-a: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i interpretaciju različitih vrsta podataka, dodeljujući ocene rizika radi prioritetnog utvrđivanja rezultata.

  5. Bezbednosno praćenje: Identifikuje podatke osetljive na bezbednost, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.

Amazon Macie je regionalna usluga i zahteva IAM ulogu 'AWSMacieServiceCustomerSetupRole' i omogućen AWS CloudTrail za funkcionalnost.

Sistem upozorenja

Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:

  • Anonimni pristup

  • Usklađenost podataka

  • Gubitak akreditiva

  • Eskalacija privilegija

  • Ransomware

  • Sumnjiv pristup, itd.

Ova upozorenja pružaju detaljne opise i razgradnju rezultata radi efikasnog odgovora i rešavanja.

Funkcionalnosti kontrolne table

Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:

  • S3 objekti (po vremenskom rasponu, ACL, PII)

  • CloudTrail događaji/korisnici visokog rizika

  • Lokacije aktivnosti

  • Tipovi identiteta CloudTrail korisnika i još mnogo toga.

Kategorizacija korisnika

Korisnici se klasifikuju u slojeve na osnovu nivoa rizika njihovih API poziva:

  • Platinum: API pozivi visokog rizika, često sa administratorskim privilegijama.

  • Gold: API pozivi vezani za infrastrukturu.

  • Silver: API pozivi srednjeg rizika.

  • Bronze: API pozivi niskog rizika.

Tipovi identiteta

Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federativnog korisnika, AWS nalog i AWS uslugu, što ukazuje na izvor zahteva.

Klasifikacija podataka

Klasifikacija podataka obuhvata:

  • Tip sadržaja: Na osnovu otkrivenog tipa sadržaja.

  • Ekstenzija fajla: Na osnovu ekstenzije fajla.

  • Tema: Kategorizovano prema ključnim rečima unutar fajlova.

  • Regex: Kategorizovano na osnovu određenih regex obrazaca.

Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.

Istraživanje i analiza

Funkcija istraživanja Amazon Macie omogućava prilagođene upite preko svih Macie podataka radi dubinske analize. Filteri uključuju CloudTrail podatke, svojstva S3 kante i S3 objekte. Osim toga, podržava poziv drugih naloga za deljenje Amazon Macie, olakšavajući saradničko upravljanje podacima i bezbednosno praćenje.

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Eksploatacija

Sa perspektive napadača, ovaj servis nije napravljen da otkrije napadača, već da otkrije osetljive informacije u sačuvanim fajlovima. Stoga, ovaj servis može pomoći napadaču da pronađe osetljive informacije unutar bucket-a. Međutim, možda bi napadač takođe mogao biti zainteresovan za njegovo onesposobljavanje kako bi sprečio žrtvu da dobija upozorenja i lakše ukrao te informacije.

TODO: PR-ovi su dobrodošli!

Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini da podržite HackTricks:

Last updated