AWS - S3 Post Exploitation

S3

有关更多信息，请查看：

敏感信息

有时您可以在存储桶中找到可读取的敏感信息。例如，terraform状态机密信息。

枢纽

不同的平台可能使用S3存储敏感资产。 例如，airflow可能会在其中存储DAGs代码，或者网页可能直接从S3提供。具有写入权限的攻击者可以从存储桶中修改代码以枢纽到其他平台，或者接管帐户修改JS文件。

S3勒索软件

在这种情况下，攻击者在其自己的AWS帐户或另一个受损帐户中创建了一个KMS（密钥管理服务）密钥。然后，他们使这个密钥对世界上的任何人都可访问，允许任何AWS用户、角色或帐户使用此密钥加密对象。但是，这些对象无法解密。

攻击者确定目标S3存储桶并获得写入级别访问，使用各种方法。这可能是由于暴露给公众的存储桶配置不当，或者攻击者获得对AWS环境本身的访问。攻击者通常针对包含个人可识别信息（PII）、受保护的健康信息（PHI）、日志、备份等敏感信息的存储桶。

为了确定存储桶是否可以成为勒索软件的目标，攻击者检查其配置。这包括验证是否启用了S3对象版本控制以及是否启用了多因素身份验证删除（MFA删除）。如果未启用对象版本控制，攻击者可以继续。如果启用了对象版本控制但未启用MFA删除，攻击者可以禁用对象版本控制。如果对象版本控制和MFA删除都已启用，则攻击者更难以对特定存储桶进行勒索软件攻击。

使用AWS API，攻击者用其KMS密钥替换存储桶中的每个对象的加密副本。这有效地加密了存储桶中的数据，使其在没有密钥的情况下无法访问。

为了施加进一步的压力，攻击者安排删除在攻击中使用的KMS密钥。这给目标一个7天的时间窗口来恢复他们的数据，然后密钥将被删除，数据将永久丢失。

最后，攻击者可以上传一个最终文件，通常命名为“ransom-note.txt”，其中包含目标如何检索其文件的说明。这个文件是未加密上传的，可能是为了引起目标的注意，让他们意识到勒索软件攻击。

欲了解更多信息 查看原始研究.