AWS - Macie Enum

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Macie

Amazon Macie destaca como un servicio diseñado para detectar, clasificar e identificar datos dentro de una cuenta de AWS. Utiliza aprendizaje automático para monitorear y analizar continuamente datos, centrándose principalmente en detectar y alertar sobre actividades inusuales o sospechosas al examinar datos de eventos de cloud trail y patrones de comportamiento de usuarios.

Características clave de Amazon Macie:

Revisión activa de datos: Emplea aprendizaje automático para revisar activamente los datos a medida que ocurren diversas acciones dentro de la cuenta de AWS.
Detección de anomalías: Identifica actividades irregulares o patrones de acceso, generando alertas para mitigar posibles riesgos de exposición de datos.
Monitoreo continuo: Monitorea y detecta automáticamente nuevos datos en Amazon S3, utilizando aprendizaje automático e inteligencia artificial para adaptarse a los patrones de acceso a datos con el tiempo.
Clasificación de datos con NLP: Utiliza procesamiento de lenguaje natural (NLP) para clasificar e interpretar diferentes tipos de datos, asignando puntajes de riesgo para priorizar hallazgos.
Monitoreo de seguridad: Identifica datos sensibles en cuanto a seguridad, como claves de API, claves secretas e información personal, ayudando a prevenir filtraciones de datos.

Amazon Macie es un servicio regional y requiere el Rol IAM 'AWSMacieServiceCustomerSetupRole' y un AWS CloudTrail habilitado para su funcionalidad.

Sistema de Alerta

Macie categoriza las alertas en categorías predefinidas como:

Acceso anonimizado
Cumplimiento de datos
Pérdida de credenciales
Escalada de privilegios
Ransomware
Acceso sospechoso, etc.

Estas alertas proporcionan descripciones detalladas y desgloses de resultados para una respuesta y resolución efectivas.

Características del Panel de Control

El panel de control categoriza los datos en varias secciones, incluyendo:

Objetos de S3 (por rango de tiempo, ACL, PII)
Eventos/usuarios de CloudTrail de alto riesgo
Ubicaciones de actividad
Tipos de identidad de usuario de CloudTrail, y más.

Categorización de Usuarios

Los usuarios se clasifican en niveles según el nivel de riesgo de sus llamadas a la API:

Platino: Llamadas a la API de alto riesgo, a menudo con privilegios de administrador.
Oro: Llamadas a la API relacionadas con la infraestructura.
Plata: Llamadas a la API de riesgo medio.
Bronce: Llamadas a la API de bajo riesgo.

Tipos de Identidad

Los tipos de identidad incluyen Raíz, Usuario IAM, Rol Asumido, Usuario Federado, Cuenta de AWS y Servicio de AWS, indicando la fuente de las solicitudes.

Clasificación de Datos

La clasificación de datos abarca:

Tipo de contenido: Basado en el tipo de contenido detectado.
Extensión de archivo: Basado en la extensión de archivo.
Tema: Categorizado por palabras clave dentro de los archivos.
Regex: Categorizado en función de patrones de regex específicos.

El mayor riesgo entre estas categorías determina el nivel de riesgo final del archivo.

Investigación y Análisis

La función de investigación de Amazon Macie permite realizar consultas personalizadas en todos los datos de Macie para un análisis detallado. Los filtros incluyen Datos de CloudTrail, propiedades de cubo de S3 y Objetos de S3. Además, admite invitar a otras cuentas para compartir Amazon Macie, facilitando la gestión colaborativa de datos y el monitoreo de seguridad.

Enumeración

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Explotación

Desde la perspectiva de un atacante, este servicio no está diseñado para detectar al atacante, sino para detectar información sensible en los archivos almacenados. Por lo tanto, este servicio podría ayudar a un atacante a encontrar información sensible dentro de los buckets. Sin embargo, tal vez un atacante también podría estar interesado en interrumpirlo para evitar que la víctima reciba alertas y robar esa información más fácilmente.

TODO: ¡Se aceptan PRs!

Referencias

https://cloudacademy.com/blog/introducing-aws-security-hub/

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

AnteriorAWS - Inspector Enum SiguienteAWS - Security Hub Enum

Última actualización hace 3 meses