AWS - S3 Post Exploitation
Last updated
Last updated
Вивчайте та практикуйте AWS Хакінг:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Хакінг: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації перегляньте:
Іноді ви зможете знайти чутливу інформацію в читабельному вигляді в бакетах. Наприклад, секрети стану terraform.
Різні платформи можуть використовувати S3 для зберігання чутливих активів. Наприклад, airflow може зберігати код DAGs там, або веб-сторінки можуть безпосередньо подаватися з S3. Зловмисник з правами запису може змінити код з бакета, щоб перейти на інші платформи або взяти під контроль облікові записи, змінюючи JS файли.
У цьому сценарії зловмисник створює ключ KMS (Служба управління ключами) у своєму власному обліковому записі AWS або в іншому скомпрометованому обліковому записі. Потім він робить цей ключ доступним для всіх у світі, дозволяючи будь-якому користувачу, ролі або обліковому запису AWS шифрувати об'єкти, використовуючи цей ключ. Однак об'єкти не можуть бути розшифровані.
Зловмисник визначає цільовий бакет S3 і отримує доступ на рівні запису до нього, використовуючи різні методи. Це може бути через погану конфігурацію бакета, яка робить його публічно доступним, або зловмисник отримує доступ до самого середовища AWS. Зазвичай зловмисник намагається націлитися на бакети, які містять чутливу інформацію, таку як особисто ідентифікована інформація (PII), захищена медична інформація (PHI), журнали, резервні копії та інше.
Щоб визначити, чи можна націлити бакет для вимагання, зловмисник перевіряє його конфігурацію. Це включає перевірку, чи увімкнено версіонування об'єктів S3 і чи увімкнено видалення з багатофакторною аутентифікацією (MFA delete). Якщо версіонування об'єктів не увімкнено, зловмисник може продовжити. Якщо версіонування об'єктів увімкнено, але MFA delete вимкнено, зловмисник може вимкнути версіонування об'єктів. Якщо і версіонування об'єктів, і MFA delete увімкнені, зловмиснику стає важче вимагати цей конкретний бакет.
Використовуючи API AWS, зловмисник замінює кожен об'єкт у бакеті зашифрованою копією, використовуючи свій ключ KMS. Це ефективно шифрує дані в бакеті, роблячи їх недоступними без ключа.
Щоб додати додатковий тиск, зловмисник планує видалення ключа KMS, використаного в атаці. Це дає цілі 7 днів для відновлення своїх даних, перш ніж ключ буде видалено, і дані стануть назавжди втраченими.
Нарешті, зловмисник може завантажити фінальний файл, зазвичай названий "ransom-note.txt", який містить інструкції для цілі про те, як відновити свої файли. Цей файл завантажується без шифрування, ймовірно, щоб привернути увагу цілі та зробити їх обізнаними про атаку вимагання.
Для отримання додаткової інформації перевірте оригінальне дослідження.
Вивчайте та практикуйте AWS Хакінг:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Хакінг: HackTricks Training GCP Red Team Expert (GRTE)