AWS - KMS Post Exploitation
KMS
Für weitere Informationen siehe:
pageAWS - KMS EnumInformationen verschlüsseln/entschlüsseln
Verwendung eines symmetrischen Schlüssels
Verwendung eines asymmetrischen Schlüssels:
KMS Ransomware
Ein Angreifer mit privilegiertem Zugriff auf KMS könnte die KMS-Richtlinie von Schlüsseln ändern und seinem Konto Zugriff darauf gewähren, wodurch der Zugriff des legitimen Kontos entfernt wird.
Dann können die Benutzer des legitimen Kontos nicht auf Informationen von Diensten zugreifen, die mit diesen Schlüsseln verschlüsselt wurden, was einen einfachen, aber effektiven Ransomware-Angriff auf das Konto darstellt.
Beachten Sie, dass AWS-Verwaltungsschlüssel nicht von diesem Angriff betroffen sind, nur Kundenspezifische Verwaltungsschlüssel.
Beachten Sie auch die Notwendigkeit, den Parameter --bypass-policy-lockout-safety-check
zu verwenden (das Fehlen dieser Option in der Weboberfläche macht diesen Angriff nur über die Befehlszeile möglich).
Beachten Sie, dass wenn Sie diese Richtlinie ändern und nur einem externen Konto Zugriff gewähren und dann von diesem externen Konto aus versuchen, eine neue Richtlinie festzulegen, um dem ursprünglichen Konto den Zugriff zurückzugeben, werden Sie nicht in der Lage sein.
Generischer KMS-Ransomware
Globale KMS-Ransomware
Es gibt einen anderen Weg, um eine globale KMS-Ransomware durchzuführen, der die folgenden Schritte umfassen würde:
Erstellen Sie einen neuen Schlüssel mit einem vom Angreifer importierten Schlüsselmaterial
Verschlüsseln Sie ältere Daten erneut, die mit der vorherigen Version verschlüsselt wurden, mit der neuen.
Löschen Sie den KMS-Schlüssel
Jetzt kann nur der Angreifer, der das ursprüngliche Schlüsselmaterial hat, die verschlüsselten Daten entschlüsseln
Schlüssel zerstören
Beachten Sie, dass AWS jetzt verhindert, dass die zuvor genannten Aktionen von einem anderen Konto aus durchgeführt werden:
Last updated