AWS - S3 Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
For more information check:
Wakati mwingine utaweza kupata taarifa nyeti zinazoweza kusomwa katika makundi. Kwa mfano, siri za hali ya terraform.
Jukwaa tofauti zinaweza kuwa zinatumia S3 kuhifadhi mali nyeti. Kwa mfano, airflow inaweza kuwa inahifadhi DAGs code humo, au kurasa za wavuti zinaweza kutolewa moja kwa moja kutoka S3. Mshambuliaji mwenye ruhusa za kuandika anaweza kubadilisha msimbo kutoka kwenye kundi ili kuhamasisha kwenye majukwaa mengine, au kuchukua akaunti kwa kubadilisha faili za JS.
Katika hali hii, mshambuliaji anaunda funguo ya KMS (Key Management Service) katika akaunti yake ya AWS au akaunti nyingine iliyovunjwa. Kisha wanafanya funguo hii ipatikane kwa mtu yeyote duniani, ikiruhusu mtumiaji yeyote wa AWS, jukumu, au akaunti kuandika vitu kwa kutumia funguo hii. Hata hivyo, vitu haviwezi kufichuliwa.
Mshambuliaji anabaini lengo S3 bucket na kupata ufikiaji wa kiwango cha kuandika kwa kutumia mbinu mbalimbali. Hii inaweza kuwa kutokana na usanidi mbaya wa kundi ambao unauweka wazi hadharani au mshambuliaji kupata ufikiaji wa mazingira ya AWS yenyewe. Mshambuliaji kwa kawaida anawalenga makundi yanay contain taarifa nyeti kama vile taarifa zinazoweza kutambulika binafsi (PII), taarifa za afya zilizolindwa (PHI), kumbukumbu, nakala za akiba, na zaidi.
Ili kubaini kama kundi linaweza kulengwa kwa ransomware, mshambuliaji anachunguza usanidi wake. Hii inajumuisha kuthibitisha kama S3 Object Versioning imewezeshwa na kama muhimu wa uthibitisho wa wengi (MFA delete) umewezeshwa. Ikiwa Object Versioning haijawezeshwa, mshambuliaji anaweza kuendelea. Ikiwa Object Versioning imewezeshwa lakini MFA delete haijawezeshwa, mshambuliaji anaweza kuondoa Object Versioning. Ikiwa zote Object Versioning na MFA delete zimewezeshwa, inakuwa vigumu zaidi kwa mshambuliaji kufanya ransomware kwenye kundi hilo maalum.
Kwa kutumia API ya AWS, mshambuliaji anabadilisha kila kitu katika kundi na nakala iliyofichwa kwa kutumia funguo zao za KMS. Hii inafanikisha kuficha data katika kundi, na kuifanya isipatikane bila funguo.
Ili kuongeza shinikizo zaidi, mshambuliaji anapanga kufuta funguo ya KMS iliyotumika katika shambulio. Hii inampa lengo dirisha la siku 7 ili kurejesha data zao kabla funguo hiyo kufutwa na data kuwa kupotea milele.
Hatimaye, mshambuliaji anaweza kupakia faili ya mwisho, kwa kawaida inayoitwa "ransom-note.txt," ambayo ina maagizo kwa lengo jinsi ya kurejesha faili zao. Faili hii inapakiwa bila kufichwa, labda ili kuvutia umakini wa lengo na kuwajulisha kuhusu shambulio la ransomware.
For more info check the original research.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)