AWS - S3 Post Exploitation
S3
अधिक जानकारी के लिए देखें:
pageAWS - S3, Athena & Glacier Enumसंवेदनशील जानकारी
कभी-कभी आपको बकेट्स में पढ़ने योग्य संवेदनशील जानकारी मिल सकती है। उदाहरण के लिए, terraform state secrets.
पिवोटिंग
विभिन्न प्लेटफॉर्म S3 का उपयोग संवेदनशील एसेट्स स्टोर करने के लिए कर सकते हैं। उदाहरण के लिए, airflow वहां DAGs कोड स्टोर कर सकता है, या वेब पेज सीधे S3 से सर्व किए जा सकते हैं। लेखन अनुमतियों वाला हमलावर बकेट से कोड में परिवर्तन करके अन्य प्लेटफॉर्मों पर पिवोट कर सकता है, या JS फाइलों को संशोधित करके खातों का अधिग्रहण कर सकता है।
S3 रैन्समवेयर
इस परिदृश्य में, हमलावर अपने स्वयं के AWS खाते में एक KMS (Key Management Service) कुंजी बनाता है या दूसरे समझौता किए गए खाते में। फिर वे इस कुंजी को दुनिया भर में किसी के लिए भी सुलभ बनाते हैं, जिससे कोई भी AWS उपयोगकर्ता, भूमिका, या खाता इस कुंजी का उपयोग करके ऑब्जेक्ट्स को एन्क्रिप्ट कर सकता है। हालांकि, ऑब्जेक्ट्स को डिक्रिप्ट नहीं किया जा सकता।
हमलावर एक लक्ष्य S3 बकेट की पहचान करता है और इसे विभिन्न तरीकों से लिखने के स्तर की पहुंच प्राप्त करता है। यह खराब बकेट कॉन्फ़िगरेशन के कारण हो सकता है जो इसे सार्वजनिक रूप से उजागर करता है या हमलावर को AWS वातावरण में ही पहुंच प्राप्त होती है। हमलावर आमतौर पर उन बकेट्स को लक्षित करता है जिनमें व्यक्तिगत पहचान योग्य जानकारी (PII), संरक्षित स्वास्थ्य जानकारी (PHI), लॉग्स, बैकअप्स और अधिक जैसी संवेदनशील जानकारी होती है।
यह निर्धारित करने के लिए कि बकेट को रैन्समवेयर के लिए लक्षित किया जा सकता है, हमलावर इसके कॉन्फ़िगरेशन की जांच करता है। इसमें यह जांचना शामिल है कि क्या S3 Object Versioning सक्षम है और क्या multi-factor authentication delete (MFA delete) सक्षम है। यदि Object Versioning सक्षम नहीं है, तो हमलावर आगे बढ़ सकता है। यदि Object Versioning सक्षम है लेकिन MFA delete अक्षम है, तो हमलावर Object Versioning को अक्षम कर सकता है। यदि Object Versioning और MFA delete दोनों सक्षम हैं, तो उस विशेष बकेट को रैन्समवेयर करना हमलावर के लिए अधिक कठिन हो जाता है।
AWS API का उपयोग करते हुए, हमलावर बकेट में प्रत्येक ऑब्जेक्ट को अपनी KMS कुंजी का उपयोग करके एक एन्क्रिप्टेड प्रति से बदल देता है। यह प्रभावी रूप से बकेट में डेटा को एन्क्रिप्ट करता है, जिससे बिना कुंजी के इसे एक्सेस करना असंभव हो जाता है।
और दबाव डालने के लिए, हमलावर हमले में इस्तेमाल की गई KMS कुंजी को हटाने का शेड्यूल करता है। इससे लक्ष्य को अपने डेटा को रिकवर करने के लिए 7-दिन की विंडो मिलती है इससे पहले कि कुंजी हटा दी जाए और डेटा स्थायी रूप से खो जाए।
अंत में, हमलावर एक अंतिम फाइल अपलोड कर सकता है, जिसे आमतौर पर "ransom-note.txt" नाम दिया जाता है, जिसमें लक्ष्य के लिए उनकी फाइलों को पुनः प्राप्त करने के निर्देश होते हैं। यह फाइल बिना एन्क्रिप्शन के अपलोड की जाती है, संभवतः लक्ष्य का ध्यान आकर्षित करने और उन्हें रैन्समवेयर हमले के बारे में जागरूक करने के लिए।
अधिक जानकारी के लिए मूल शोध देखें.
Last updated