AWS - S3 Post Exploitation
S3
Daha fazla bilgi için kontrol edin:
AWS - S3, Athena & Glacier EnumHassas Bilgiler
Bazen, okunabilir bir şekilde kovalarda hassas bilgiler bulabilirsiniz. Örneğin, terraform durum sırları.
Pivoting
Farklı platformlar, hassas varlıkları depolamak için S3'ü kullanabilir. Örneğin, airflow, DAG'lerin kodunu orada saklayabilir veya web sayfaları doğrudan S3'ten sunulabilir. Yazma izinlerine sahip bir saldırgan, kovadaki kodu başka platformlara geçmek veya JS dosyalarını değiştirerek hesapları ele geçirmek için kullanabilir.
S3 Fidye Yazılımı
Bu senaryoda, saldırgan kendi AWS hesabında veya başka bir ele geçirilmiş hesapta bir KMS (Anahtar Yönetimi Hizmeti) anahtarı oluşturur. Ardından, bu anahtarı dünyadaki herhangi bir AWS kullanıcısına, role veya hesaba erişilebilir hale getirir ve bu anahtar kullanılarak nesneler şifrelenir. Ancak, nesneler çözülemez.
Saldırgan, çeşitli yöntemlerle hedef S3 kovasına yazma düzeyinde erişim elde eder. Bunun nedeni, kova yapılandırmasının kötü olması ve halka açık olması veya saldırganın AWS ortamına erişim sağlaması olabilir. Saldırgan genellikle kişisel tanımlama bilgileri (PII), korunan sağlık bilgileri (PHI), günlükler, yedeklemeler ve daha fazlası gibi hassas bilgiler içeren kovaları hedef alır.
Kovanın fidye yazılımı için hedef alınıp alınamayacağını belirlemek için saldırgan, yapılandırmasını kontrol eder. Bu, S3 Nesne Sürümleme'nin etkinleştirilip etkinleştirilmediğini ve çok faktörlü kimlik doğrulama silme (MFA silme) özelliğinin etkinleştirilip etkinleştirilmediğini doğrulamayı içerir. Nesne Sürümleme etkinleştirilmemişse, saldırgan devam edebilir. Nesne Sürümleme etkinleştirilmişse ancak MFA silme devre dışı bırakılmışsa, saldırgan Nesne Sürümlemeyi devre dışı bırakabilir. Nesne Sürümleme ve MFA silme ikisi de etkinleştirilmişse, saldırganın belirli bir kovayı fidye yazılımına karşı zorlaşır.
AWS API'sini kullanarak, saldırgan her bir nesneyi kovada kendi KMS anahtarını kullanarak şifrelenmiş bir kopya ile değiştirir. Bu, kovadaki verileri şifreler ve anahtar olmadan erişilemez hale getirir.
Daha fazla baskı yapmak için saldırgan, saldırıda kullanılan KMS anahtarının silinmesini planlar. Bu, hedefin verilerini kurtarmak için 7 günlük bir pencere sağlar, ardından anahtar silinir ve veriler kalıcı olarak kaybolur.
Son olarak, saldırgan genellikle "ransom-note.txt" adında bir son dosya yükleyebilir. Bu dosya, hedefin dosyalarını nasıl alacağı konusunda talimatlar içerir. Bu dosya şifrelenmeden yüklenir, muhtemelen hedefin dikkatini çekmek ve fidye yazılımı saldırısından haberdar etmek için.
Daha fazla bilgi için orijinal araştırmayı kontrol edin.
Last updated