AWS - Macie Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Macie

Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в обліковому записі AWS. Він використовує машинне навчання для безперервного моніторингу та аналізу даних, зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані подій хмари та шаблони поведінки користувачів.

Ключові особливості Amazon Macie:

Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
Виявлення аномалій: Визначає нерегулярні дії або шаблони доступу, генеруючи сповіщення для зменшення потенційних ризиків витоку даних.
Безперервний моніторинг: Автоматично моніторить і виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до шаблонів доступу до даних з часом.
Класифікація даних з NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, присвоюючи ризикові бали для пріоритизації знахідок.
Моніторинг безпеки: Визначає дані, чутливі до безпеки, включаючи ключі API, секретні ключі та особисту інформацію, допомагаючи запобігти витокам даних.

Amazon Macie є регіональним сервісом і вимагає ролі IAM 'AWSMacieServiceCustomerSetupRole' та активованого AWS CloudTrail для функціонування.

Система сповіщень

Macie класифікує сповіщення на попередньо визначені категорії, такі як:

Анонімний доступ
Відповідність даним
Втрата облікових даних
Підвищення привілеїв
Вимагач
Підозрілий доступ тощо.

Ці сповіщення надають детальні описи та розподіл результатів для ефективної реакції та вирішення.

Функції панелі управління

Панель управління класифікує дані на різні секції, включаючи:

Об'єкти S3 (за часовим діапазоном, ACL, PII)
Користувачі/події CloudTrail з високим ризиком
Локації активності
Типи ідентичності користувачів CloudTrail та інше.

Класифікація користувачів

Користувачі класифікуються на рівні залежно від рівня ризику їхніх викликів API:

Платиновий: Виклики API з високим ризиком, часто з адміністративними привілеями.
Золотий: Виклики API, пов'язані з інфраструктурою.
Срібний: Виклики API середнього ризику.
Бронзовий: Виклики API з низьким ризиком.

Типи ідентичності

Типи ідентичності включають Root, IAM користувач, Прийнята роль, Федеративний користувач, Обліковий запис AWS та Сервіс AWS, що вказує на джерело запитів.

Класифікація даних

Класифікація даних охоплює:

Тип вмісту: На основі виявленого типу вмісту.
Розширення файлу: На основі розширення файлу.
Тема: Класифікована за ключовими словами в файлах.
Regex: Класифікована на основі специфічних шаблонів regex.

Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.

Дослідження та аналіз

Функція дослідження Amazon Macie дозволяє виконувати користувацькі запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості S3 Bucket та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, полегшуючи спільне управління даними та моніторинг безпеки.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Постексплуатація

З точки зору атакуючого, ця служба не призначена для виявлення атакуючого, а для виявлення чутливої інформації у збережених файлах. Тому ця служба може допомогти атакуючому знайти чутливу інформацію всередині бакетів. Однак, можливо, атакуючий також може бути зацікавлений у її порушенні, щоб запобігти отриманню сповіщень жертвою та легше вкрасти цю інформацію.

TODO: PRs are welcome!

Посилання

https://cloudacademy.com/blog/introducing-aws-security-hub/

Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago