AWS - DLM Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicyBir fidye yazılımı saldırısı, mümkün olduğunca çok EBS hacmini şifreleyerek ve ardından mevcut EC2 örneklerini, EBS hacimlerini ve anlık görüntüleri silerek gerçekleştirilebilir. Bu kötü niyetli etkinliği otomatikleştirmek için, başka bir AWS hesabından bir KMS anahtarı ile anlık görüntüleri şifreleyerek ve şifrelenmiş anlık görüntüleri farklı bir hesaba aktararak Amazon DLM kullanılabilir. Alternatif olarak, yönetimlerini yaptıkları bir hesaba şifreleme olmadan anlık görüntüleri aktarabilir ve ardından orada şifreleyebilirler. Mevcut EBS hacimlerini veya anlık görüntüleri doğrudan şifrelemek kolay olmasa da, yeni bir hacim veya anlık görüntü oluşturarak bunu yapmak mümkündür.
Öncelikle, örnek ID'si, hacim ID'si, şifreleme durumu, ekleme durumu ve hacim türü gibi hacimlerle ilgili bilgileri toplamak için bir komut kullanılacaktır.
aws ec2 describe-volumes
İkincisi, yaşam döngüsü politikasını oluşturacaktır. Bu komut, belirli hacimlerin her gün belirli bir saatte otomatik olarak anlık görüntülerini alan bir yaşam döngüsü politikası kurmak için DLM API'sini kullanır. Ayrıca anlık görüntülere belirli etiketler uygular ve hacimlerden anlık görüntülere etiketleri kopyalar. policyDetails.json dosyası, hedef etiketler, program, şifreleme için isteğe bağlı KMS anahtarının ARN'si ve anlık görüntü paylaşımı için hedef hesap gibi yaşam döngüsü politikasının ayrıntılarını içerir; bu bilgiler kurbanın CloudTrail günlüklerinde kaydedilecektir.
Bir politika belgesi için bir şablon burada görülebilir:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
