AWS - S3 Post Exploitation

Вивчайте та практикуйте AWS Хакінг:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Хакінг: HackTricks Training GCP Red Team Expert (GRTE)

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

S3

Для отримання додаткової інформації перегляньте:

AWS - S3, Athena & Glacier Enum

Чутлива інформація

Іноді ви зможете знайти чутливу інформацію у читабельному вигляді в бакетах. Наприклад, секрети стану terraform.

Півтуг

Різні платформи можуть використовувати S3 для зберігання чутливих активів. Наприклад, airflow може зберігати код DAGs там, або веб-сторінки можуть безпосередньо подаватися з S3. Зловмисник з правами запису може змінити код з бакета, щоб перейти на інші платформи або взяти під контроль облікові записи, змінюючи JS файли.

S3 Вимагач

У цьому сценарії зловмисник створює ключ KMS (Служба управління ключами) у своєму власному обліковому записі AWS або в іншому скомпрометованому обліковому записі. Потім він робить цей ключ доступним для всіх у світі, дозволяючи будь-якому користувачу, ролі або обліковому запису AWS шифрувати об'єкти, використовуючи цей ключ. Однак об'єкти не можуть бути розшифровані.

Зловмисник визначає цільовий S3 бакет і отримує доступ на рівні запису до нього, використовуючи різні методи. Це може бути через погану конфігурацію бакета, яка робить його публічно доступним, або зловмисник отримує доступ до самого середовища AWS. Зазвичай зловмисник націлюється на бакети, які містять чутливу інформацію, таку як особисто ідентифікована інформація (PII), захищена медична інформація (PHI), журнали, резервні копії та інше.

Щоб визначити, чи можна націлити бакет для вимагання, зловмисник перевіряє його конфігурацію. Це включає перевірку, чи увімкнено версіонування об'єктів S3 і чи увімкнено видалення з багатофакторною аутентифікацією (MFA delete). Якщо версіонування об'єктів не увімкнено, зловмисник може продовжити. Якщо версіонування об'єктів увімкнено, але MFA delete вимкнено, зловмисник може вимкнути версіонування об'єктів. Якщо і версіонування об'єктів, і MFA delete увімкнено, зловмиснику стає важче вимагати викуп за цей конкретний бакет.

Використовуючи AWS API, зловмисник замінює кожен об'єкт у бакеті зашифрованою копією, використовуючи свій KMS ключ. Це ефективно шифрує дані в бакеті, роблячи їх недоступними без ключа.

Щоб додати додатковий тиск, зловмисник планує видалення KMS ключа, використаного в атаці. Це дає цілі 7 днів для відновлення своїх даних до того, як ключ буде видалено, і дані стануть назавжди втраченими.

Нарешті, зловмисник може завантажити фінальний файл, зазвичай названий "ransom-note.txt", який містить інструкції для цілі про те, як відновити свої файли. Цей файл завантажується без шифрування, ймовірно, щоб привернути увагу цілі та зробити їх обізнаними про атаку-вимагач.

Для отримання додаткової інформації перевірте оригінальне дослідження.

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago