AWS - EBS Snapshot Dump
Verificando una instantánea localmente
Nota que dsnap
no te permitirá descargar instantáneas públicas. Para evitar esto, puedes hacer una copia de la instantánea en tu cuenta personal y descargarla:
Para obtener más información sobre esta técnica, consulta la investigación original en https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Puedes hacer esto con Pacu utilizando el módulo ebs__download_snapshots
Verificación de un snapshot en AWS
Montarlo en una VM EC2 bajo tu control (debe estar en la misma región que la copia de la copia de seguridad):
Paso 1: Se debe crear un nuevo volumen del tamaño y tipo preferidos dirigiéndose a EC2 –> Volúmenes.
Para poder realizar esta acción, siga estos comandos:
Cree un volumen EBS para adjuntar a la instancia EC2.
Asegúrese de que el volumen EBS y la instancia estén en la misma zona.
Paso 2: Seleccionar la opción "adjuntar volumen" haciendo clic con el botón derecho en el volumen creado.
Paso 3: Seleccionar la instancia del cuadro de texto de la instancia.
Para poder realizar esta acción, use el siguiente comando:
Adjunte el volumen EBS.
Paso 4: Inicie sesión en la instancia EC2 y liste los discos disponibles usando el comando lsblk
.
Paso 5: Verifique si el volumen tiene algún dato usando el comando sudo file -s /dev/xvdf
.
Si la salida del comando anterior muestra "/dev/xvdf: data", significa que el volumen está vacío.
Paso 6: Formatee el volumen al sistema de archivos ext4 usando el comando sudo mkfs -t ext4 /dev/xvdf
. Alternativamente, también puede usar el formato xfs usando el comando sudo mkfs -t xfs /dev/xvdf
. Tenga en cuenta que debe usar ext4 o xfs.
Paso 7: Cree un directorio de su elección para montar el nuevo volumen ext4. Por ejemplo, puede usar el nombre "newvolume".
Para poder realizar esta acción, use el comando sudo mkdir /newvolume
.
Paso 8: Monte el volumen en el directorio "newvolume" usando el comando sudo mount /dev/xvdf /newvolume/
.
Paso 9: Cambie al directorio "newvolume" y verifique el espacio en disco para validar el montaje del volumen.
Para poder realizar esta acción, use los siguientes comandos:
Cambie al directorio
/newvolume
.Verifique el espacio en disco usando el comando
df -h .
. La salida de este comando debería mostrar el espacio libre en el directorio "newvolume".
Puedes hacer esto con Pacu usando el módulo ebs__explore_snapshots
.
Verificación de un snapshot en AWS (usando cli)
Copia de sombra
Cualquier usuario de AWS que posea el permiso EC2:CreateSnapshot
puede robar los hashes de todos los usuarios del dominio creando una instantánea del Controlador de Dominio, montándola en una instancia que controlen y exportando el archivo NTDS.dit y el archivo de registro SYSTEM para usarlo con el proyecto secretsdump de Impacket.
Puedes utilizar esta herramienta para automatizar el ataque: https://github.com/Static-Flow/CloudCopy o podrías usar una de las técnicas anteriores después de crear una instantánea.
Referencias
Última actualización