AWS - S3 Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
For more information check:
Wakati mwingine utaweza kupata taarifa nyeti zinazoweza kusomwa katika ndoo. Kwa mfano, siri za hali ya terraform.
Majukwaa tofauti yanaweza kutumia S3 kuhifadhi mali nyeti. Kwa mfano, airflow inaweza kuwa inahifadhi DAGs code humo, au kurasa za wavuti zinaweza kutolewa moja kwa moja kutoka S3. Mshambuliaji mwenye ruhusa za kuandika anaweza kubadilisha msimbo kutoka kwenye ndoo ili kuhamasisha kwenye majukwaa mengine, au kuchukua akaunti kwa kubadilisha faili za JS.
Katika hali hii, mshambuliaji anaunda funguo ya KMS (Key Management Service) katika akaunti yake ya AWS au akaunti nyingine iliyovunjwa. Kisha wanafanya funguo hii ipatikane kwa mtu yeyote duniani, ikiruhusu mtumiaji yeyote wa AWS, jukumu, au akaunti kuandika vitu kwa kutumia funguo hii. Hata hivyo, vitu haviwezi kufutwa.
Mshambuliaji anabaini ndoo ya S3 na kupata ufikiaji wa kiwango cha kuandika kwa kutumia mbinu mbalimbali. Hii inaweza kuwa kutokana na usanidi mbaya wa ndoo ambao unauweka wazi au mshambuliaji kupata ufikiaji wa mazingira ya AWS yenyewe. Mshambuliaji kwa kawaida anawalenga ndoo ambazo zina taarifa nyeti kama vile taarifa zinazoweza kutambulika binafsi (PII), taarifa za afya zilizolindwa (PHI), kumbukumbu, nakala za akiba, na zaidi.
Ili kubaini kama ndoo inaweza kulengwa kwa ransomware, mshambuliaji anachunguza usanidi wake. Hii inajumuisha kuthibitisha kama S3 Object Versioning imewezeshwa na kama kuondoa uthibitisho wa hatua nyingi (MFA delete) kumewashwa. Ikiwa Object Versioning haijawezeshwa, mshambuliaji anaweza kuendelea. Ikiwa Object Versioning imewezeshwa lakini MFA delete haijawashwa, mshambuliaji anaweza kuondoa Object Versioning. Ikiwa zote Object Versioning na MFA delete zimewezeshwa, inakuwa vigumu zaidi kwa mshambuliaji kufanya ransomware kwenye ndoo hiyo maalum.
Kwa kutumia API ya AWS, mshambuliaji anabadilisha kila kitu katika ndoo na nakala iliyofichwa kwa kutumia funguo zao za KMS. Hii inafanikisha kuficha data katika ndoo, na kuifanya isipatikane bila funguo.
Ili kuongeza shinikizo zaidi, mshambuliaji anapanga kufuta funguo ya KMS iliyotumika katika shambulio. Hii inampa lengo dirisha la siku 7 ili kurejesha data zao kabla funguo hiyo kufutwa na data kuwa kupotea milele.
Hatimaye, mshambuliaji anaweza kupakia faili ya mwisho, kwa kawaida inayoitwa "ransom-note.txt," ambayo ina maelekezo kwa lengo jinsi ya kurejesha faili zao. Faili hii inapakiwa bila kufichwa, labda ili kuvutia umakini wa lengo na kuwajulisha kuhusu shambulio la ransomware.
For more info check the original research.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)