AWS - S3 Post Exploitation
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Daha fazla bilgi için kontrol edin:
AWS - S3, Athena & Glacier EnumBazen, kovalar içinde okunabilir hassas bilgiler bulabilirsiniz. Örneğin, terraform durum gizli anahtarları.
Farklı platformlar, hassas varlıkları depolamak için S3 kullanıyor olabilir. Örneğin, airflow burada DAG'ların kodunu depoluyor olabilir veya web sayfaları doğrudan S3'ten sunulabilir. Yazma izinlerine sahip bir saldırgan, kovadaki kodunu değiştirebilir ve diğer platformlara pivotlayabilir veya JS dosyalarını değiştirerek hesapları ele geçirebilir.
Bu senaryoda, saldırgan kendi AWS hesabında veya başka bir ele geçirilmiş hesapta bir KMS (Anahtar Yönetim Servisi) anahtarı oluşturur. Daha sonra bu anahtarı dünyanın her yerinden erişilebilir hale getirir, böylece herhangi bir AWS kullanıcısı, rolü veya hesabı bu anahtarı kullanarak nesneleri şifreleyebilir. Ancak, nesneler çözülemez.
Saldırgan, hedef S3 kovanı belirler ve çeşitli yöntemlerle yazma düzeyinde erişim kazanır. Bu, kamuya açık bir şekilde maruz kalan kötü yapılandırılmış bir kova veya saldırganın AWS ortamına erişim kazanması nedeniyle olabilir. Saldırgan genellikle kişisel olarak tanımlanabilir bilgiler (PII), korunan sağlık bilgileri (PHI), günlükler, yedekler ve daha fazlasını içeren hassas bilgiler içeren kovaları hedef alır.
Kovanın fidye yazılımı için hedeflenip hedeflenemeyeceğini belirlemek için, saldırgan yapılandırmasını kontrol eder. Bu, S3 Nesne Sürümleme'nin etkin olup olmadığını ve çok faktörlü kimlik doğrulama silme (MFA silme)'nin etkin olup olmadığını doğrulamayı içerir. Nesne Sürümleme etkin değilse, saldırgan devam edebilir. Nesne Sürümleme etkin ancak MFA silme devre dışıysa, saldırgan Nesne Sürümleme'yi devre dışı bırakabilir. Hem Nesne Sürümleme hem de MFA silme etkinse, saldırganın o belirli kovayı fidye yazılımı ile hedef alması daha zor hale gelir.
AWS API'sini kullanarak, saldırgan kovadaki her nesneyi kendi KMS anahtarını kullanarak şifrelenmiş bir kopya ile değiştirir. Bu, kovadaki verileri etkili bir şekilde şifreler ve anahtar olmadan erişilemez hale getirir.
Daha fazla baskı eklemek için, saldırgan saldırıda kullanılan KMS anahtarının silinmesini planlar. Bu, hedefe anahtar silinmeden önce verilerini kurtarması için 7 günlük bir süre tanır ve veriler kalıcı olarak kaybolur.
Son olarak, saldırgan genellikle "ransom-note.txt" olarak adlandırılan son bir dosya yükleyebilir; bu dosya, hedefe dosyalarını nasıl geri alacağına dair talimatlar içerir. Bu dosya, muhtemelen hedefin dikkatini çekmek ve fidye yazılımı saldırısından haberdar etmek için şifrelenmeden yüklenir.
Daha fazla bilgi için orijinal araştırmayı kontrol edin.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
