AWS - S3 Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

S3

For more information check:

AWS - S3, Athena & Glacier Enum

Sensitive Information

Ponekad ćete moći da pronađete osetljive informacije u čitljivom formatu u kanticama. Na primer, terraform state tajne.

Pivoting

Različite platforme mogu koristiti S3 za skladištenje osetljivih sredstava. Na primer, airflow može skladištiti DAGs kod tamo, ili se web stranice mogu direktno servirati iz S3. Napadač sa pravima pisanja može modifikovati kod iz kante da bi pivotovao na druge platforme, ili preuzeo naloge modifikovanjem JS datoteka.

S3 Ransomware

U ovom scenariju, napadač kreira KMS (Key Management Service) ključ u svom AWS nalogu ili drugom kompromitovanom nalogu. Zatim čini ovaj ključ dostupnim svima na svetu, omogućavajući bilo kojem AWS korisniku, ulozi ili nalogu da enkriptuje objekte koristeći ovaj ključ. Međutim, objekti se ne mogu dekriptovati.

Napadač identifikuje cilj S3 kantu i dobija pristup na nivou pisanja koristeći različite metode. To može biti zbog loše konfiguracije kante koja je javno izložena ili napadač dobija pristup AWS okruženju. Napadač obično cilja kante koje sadrže osetljive informacije kao što su lične identifikacione informacije (PII), zaštićene zdravstvene informacije (PHI), logovi, rezervne kopije i još mnogo toga.

Da bi utvrdio da li se kanta može ciljati za ransomware, napadač proverava njenu konfiguraciju. Ovo uključuje verifikaciju da li je S3 Object Versioning omogućen i da li je multi-factor authentication delete (MFA delete) omogućen. Ako Object Versioning nije omogućen, napadač može nastaviti. Ako je Object Versioning omogućen, ali je MFA delete onemogućen, napadač može onemogućiti Object Versioning. Ako su i Object Versioning i MFA delete omogućeni, postaje teže za napadača da izvrši ransomware na toj specifičnoj kanti.

Koristeći AWS API, napadač menja svaki objekat u kanti sa enkriptovanom kopijom koristeći svoj KMS ključ. Ovo efikasno enkriptuje podatke u kanti, čineći ih nedostupnim bez ključa.

Da bi dodatno pritisnuo, napadač zakazuje brisanje KMS ključa korišćenog u napadu. Ovo daje cilju 7-dnevni period da povrati svoje podatke pre nego što ključ bude obrisan i podaci postanu trajno izgubljeni.

Na kraju, napadač može otpremiti konačnu datoteku, obično nazvanu "ransom-note.txt," koja sadrži uputstva za cilj o tome kako da povrati svoje datoteke. Ova datoteka se otprema bez enkripcije, verovatno da bi privukla pažnju cilja i obavestila ih o ransomware napadu.

For more info check the original research.