AWS - KMS Post Exploitation
KMS
Para más información consulta:
pageAWS - KMS EnumEncriptar/Desencriptar información
Utilizando una llave simétrica
Utilizando una clave asimétrica:
Ransomware de KMS
Un atacante con acceso privilegiado sobre KMS podría modificar la política de claves de KMS y conceder acceso a su cuenta sobre ellas, eliminando el acceso otorgado a la cuenta legítima.
Entonces, los usuarios de la cuenta legítima no podrán acceder a ninguna información de ningún servicio que haya sido encriptado con esas claves, creando un ransomware fácil pero efectivo sobre la cuenta.
Tenga en cuenta que las claves administradas por AWS no se ven afectadas por este ataque, solo las claves administradas por el cliente.
También tenga en cuenta la necesidad de usar el parámetro --bypass-policy-lockout-safety-check
(la falta de esta opción en la consola web hace que este ataque solo sea posible desde la CLI).
Ten en cuenta que si cambias esa política y solo das acceso a una cuenta externa, y luego desde esta cuenta externa intentas establecer una nueva política para devolver el acceso a la cuenta original, no podrás hacerlo.
Ransomware Genérico de KMS
Ransomware de KMS Global
Hay otra forma de llevar a cabo un Ransomware de KMS global, que implicaría los siguientes pasos:
Crear una nueva clave con un material de clave importado por el atacante
Reencriptar datos antiguos encriptados con la versión anterior con la nueva.
Eliminar la clave de KMS
Ahora solo el atacante, que tiene el material de clave original, podría descifrar los datos encriptados
Destruir claves
Ten en cuenta que AWS ahora impide que las acciones anteriores se realicen desde una cuenta cruzada:
Última actualización