AWS - GuardDuty Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kulingana na docs: GuardDuty inachanganya ujifunzaji wa mashine, kugundua tofauti, ufuatiliaji wa mtandao, na kugundua faili zenye uharibifu, ikitumia vyanzo vya AWS na vya tatu vinavyongoza katika tasnia kusaidia kulinda kazi na data kwenye AWS. GuardDuty ina uwezo wa kuchambua mabilioni ya matukio katika vyanzo vingi vya data vya AWS, kama vile kumbukumbu za matukio ya AWS CloudTrail, Kumbukumbu za Mtiririko wa Amazon Virtual Private Cloud (VPC), kumbukumbu za ukaguzi na za mfumo wa Amazon Elastic Kubernetes Service (EKS), na kumbukumbu za maswali ya DNS.
Amazon GuardDuty inafichua shughuli zisizo za kawaida ndani ya akaunti zako, inachambua umuhimu wa usalama wa shughuli hiyo, na inatoa muktadha ambao ilitokea. Hii inamruhusu mrespondaji kuamua kama anapaswa kutumia muda katika uchunguzi zaidi.
Alerts zinaonekana kwenye console ya GuardDuty (siku 90) na Matukio ya CloudWatch.
Wakati mtumiaji anapozuia GuardDuty, itasimamisha ufuatiliaji wa mazingira yako ya AWS na haitazalisha matokeo mapya kabisa, na matokeo yaliyopo yatapotea. Ikiwa unaisimamisha tu, matokeo yaliyopo yatabaki.
Upelelezi: Shughuli inayopendekeza upelelezi na mshambuliaji, kama vile shughuli zisizo za kawaida za API, majaribio ya kuingia kwenye hifadhidata, skanning ya bandari ndani ya VPC, mifumo isiyo ya kawaida ya maombi ya kuingia yaliyoshindwa, au uchunguzi wa bandari usiozuiliwa kutoka kwa IP mbaya inayojulikana.
Kuvunjika kwa mfano: Shughuli inayonyesha kuvunjika kwa mfano, kama vile uchimbaji wa sarafu, shughuli za amri na udhibiti wa nyuma (C&C), malware inayotumia algorithimu za kizazi cha kikoa (DGA), shughuli za kukataa huduma za nje, kiasi kisicho cha kawaida cha trafiki ya mtandao, protokali zisizo za kawaida za mtandao, mawasiliano ya mfano wa nje na IP mbaya inayojulikana, akidi za muda za Amazon EC2 zinazotumiwa na anwani ya IP ya nje, na uhamasishaji wa data kwa kutumia DNS.
Kuvunjika kwa akaunti: Mifumo ya kawaida inayoweza kuashiria kuvunjika kwa akaunti ni pamoja na simu za API kutoka eneo la kijiografia lisilo la kawaida au proxy ya kuficha, majaribio ya kuzima kumbukumbu za AWS CloudTrail, mabadiliko yanayodhoofisha sera ya nywila ya akaunti, uzinduzi wa mfano au miundombinu isiyo ya kawaida, uwekaji wa miundombinu katika eneo lisilo la kawaida, wizi wa akidi, shughuli za kuingia kwenye hifadhidata zisizo za kawaida, na simu za API kutoka kwa anwani za IP mbaya zinazojulikana.
Kuvunjika kwa ndoo: Shughuli inayonyesha kuvunjika kwa ndoo, kama vile mifumo ya ufikiaji wa data isiyo ya kawaida ikionyesha matumizi mabaya ya akidi, shughuli zisizo za kawaida za Amazon S3 API kutoka kwa mwenyeji wa mbali, ufikiaji usioidhinishwa wa S3 kutoka kwa anwani za IP mbaya zinazojulikana, na simu za API za kupata data katika ndoo za S3 kutoka kwa mtumiaji ambaye hana historia ya awali ya kufikia ndoo hiyo au aliyeanzishwa kutoka eneo lisilo la kawaida. Amazon GuardDuty inafuatilia na kuchambua matukio ya data ya AWS CloudTrail S3 (mfano: GetObject, ListObjects, DeleteObject) ili kugundua shughuli zisizo za kawaida katika ndoo zako zote za Amazon S3.
Fikia orodha ya matokeo yote ya GuardDuty katika: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html
Unaweza kualika akaunti nyingine kwenye akaunti tofauti ya AWS GuardDuty ili akaunti zote zifuatiliwe kutoka GuardDuty moja. Akaunti ya mkuu lazima iwalike akaunti za wanachama na kisha mwakilishi wa akaunti ya mwanachama lazima akubali mwaliko.
Unaweza kuteua akaunti yoyote ndani ya shirika kuwa msimamizi wa GuardDuty. Ni akaunti ya usimamizi wa shirika pekee inayoweza kuteua msimamizi wa kuteuliwa.
Akaunti inayoteuliwa kama msimamizi wa kuteuliwa inakuwa akaunti ya msimamizi wa GuardDuty, ina GuardDuty iliyoanzishwa kiotomatiki katika Eneo lililotengwa la AWS, na pia ina idhini ya kuanzisha na kusimamia GuardDuty kwa akaunti zote ndani ya shirika katika eneo hilo. Akaunti nyingine ndani ya shirika zinaweza kuonekana na kuongezwa kama akaunti za wanachama wa GuardDuty zinazohusishwa na akaunti hii ya msimamizi wa kuteuliwa.
Jaribu kujua kadri uwezavyo kuhusu tabia ya ithibati unayotaka kutumia:
Nyakati inapotumika
Mikoa
Wakala wa Mtumiaji / Huduma (Inaweza kutumika kutoka awscli, webconsole, lambda...)
Ruhusa zinazotumika mara kwa mara
Kwa habari hii, tengeneza tena kadri uwezavyo hali ile ile kutumia ufikiaji:
Ikiwa ni mtumiaji au jukumu linalofikiwa na mtumiaji, jaribu kulitumika katika masaa yale yale, kutoka eneo lile lile (hata ISP na IP ile ile ikiwa inawezekana)
Ikiwa ni jukumu linalotumika na huduma, tengeneza huduma ile ile katika eneo lile lile na uitumie kutoka hapo katika muda ule ule
Daima jaribu kutumia ruhusa zile zile ambazo mkuu huyu ametumia
Ikiwa unahitaji kutumia ruhusa nyingine au kutumia ruhusa (kwa mfano, kupakua faili 1.000.000 za cloudtrail log) fanya hivyo polepole na kwa idadi ndogo ya mwingiliano na AWS (awscli wakati mwingine inaita APIs kadhaa za kusoma kabla ya ile ya kuandika)
guardduty:UpdateDetector
Kwa ruhusa hii unaweza kuzima GuardDuty ili kuepuka kuanzisha arifa.
guardduty:CreateFilter
Washambuliaji wenye ruhusa hii wana uwezo wa kutumia filters kwa ajili ya kuhifadhi matokeo kiotomatiki:
iam:PutRolePolicy
, (guardduty:CreateIPSet
|guardduty:UpdateIPSet
)Wavamizi wenye mamlaka za awali wanaweza kubadilisha Orodha ya IP za Kuaminika ya GuardDuty kwa kuongeza anwani yao ya IP na kuepuka kuzalisha arifa.
guardduty:DeletePublishingDestination
Wavamizi wanaweza kuondoa eneo la kuchapisha ili kuzuia arifa:
Kufuta eneo hili la kuchapisha hakutakuwa na athari kwa uzalishaji au mwonekano wa matokeo ndani ya konsoli ya GuardDuty. GuardDuty itaendelea kuchambua matukio katika mazingira yako ya AWS, kubaini tabia za kushangaza au zisizotarajiwa, na kuzalisha matokeo.
Kumbuka kuwa kuna matokeo kumi za GuardDuty, hata hivyo, kama Red Teamer si yote yatakayoathiri wewe, na bora zaidi, una nyaraka kamili za kila moja yao katika https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html hivyo angalia kabla ya kuchukua hatua yoyote ili usikamatwe.
Hapa kuna mifano kadhaa ya kupita matokeo maalum ya GuardDuty:
GuardDuty inagundua maombi ya API ya AWS kutoka kwa zana za kawaida za kupenya na kuanzisha PenTest Finding. Inagunduliwa na jina la wakala wa mtumiaji ambalo linapitishwa katika ombi la API. Hivyo, kubadilisha wakala wa mtumiaji inawezekana kuzuia GuardDuty kugundua shambulio hilo.
Ili kuzuia hili unaweza kutafuta kutoka kwenye script session.py
katika pakiti ya botocore
na kubadilisha wakala wa mtumiaji, au kuweka Burp Suite kama proxy ya AWS CLI na kubadilisha wakala wa mtumiaji kwa MitM au kutumia OS kama Ubuntu, Mac au Windows kutazuia kengele hii isiwake.
Kutoa akreditif za EC2 kutoka kwenye huduma ya metadata na kuzitumia nje ya mazingira ya AWS kunasababisha kengele ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
. Kwa upande mwingine, kutumia akreditif hizi kutoka kwenye mfano wako wa EC2 kunasababisha kengele ya UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
. Hata hivyo, kutumia akreditif kwenye mfano mwingine wa EC2 ulioathiriwa ndani ya akaunti hiyo hiyo hakugunduliwi, hakusababisha kengele yoyote.
Hivyo, tumia akreditif zilizopatikana kutoka ndani ya mashine ambapo ulizipata ili usisababisha kengele hii.
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)