AWS - IAM Persistence

IAM

Для отримання додаткової інформації зверніться до:

Загальна IAM Постійну

• Створити користувача

• Додати контрольованого користувача до привілейованої групи

• Створити ключі доступу (нового користувача або всіх користувачів)

• Надати додаткові дозволи контрольованим користувачам/групам (прикріплені політики або вбудовані політики)

• Вимкнути MFA / Додати свій власний пристрій MFA

• Створити ситуацію з ланцюгом ролей (більше про це нижче в STS постійності)

Політики довіри до бекдору ролі

Ви можете створити бекдор для політики довіри, щоб мати можливість приймати її для зовнішнього ресурсу, контрольованого вами (або для всіх):

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"*",
"arn:aws:iam::123213123123:root"
]
},
"Action": "sts:AssumeRole"
}
]
}

Backdoor Policy Version

Надайте адміністративні дозволи політиці, яка не є її останньою версією (остання версія повинна виглядати легітимно), а потім призначте цю версію політики контрольованому користувачу/групі.

Backdoor / Create Identity Provider

Якщо обліковий запис вже довіряє загальному постачальнику ідентичності (такому як Github), умови довіри можуть бути посилені, щоб зловмисник міг їх зловживати.