AWS - KMS Post Exploitation
KMS
Per ulteriori informazioni controlla:
pageAWS - KMS EnumCrittografia/Decrittografia delle informazioni
Utilizzando una chiave simmetrica
Utilizzando una chiave asimmetrica:
Ransomware di KMS
Un attaccante con accesso privilegiato su KMS potrebbe modificare la policy di KMS delle chiavi e concedere al suo account l'accesso su di esse, rimuovendo l'accesso concesso all'account legittimo.
Successivamente, gli utenti dell'account legittimo non saranno in grado di accedere a nessuna informazione di qualsiasi servizio che è stato crittografato con quelle chiavi, creando un ransomware semplice ma efficace sull'account.
Si noti che le chiavi gestite da AWS non sono interessate da questo attacco, solo le chiavi gestite dal cliente.
Si noti anche la necessità di utilizzare il parametro --bypass-policy-lockout-safety-check
(la mancanza di questa opzione nella console web rende questo attacco possibile solo dalla CLI).
Nota che se modifichi quella policy e concedi accesso solo a un account esterno, e poi da questo account esterno provi a impostare una nuova policy per restituire l'accesso all'account originale, non sarai in grado di farlo.
Ransomware KMS Generico
Ransomware KMS Globale
C'è un altro modo per eseguire un Ransomware KMS globale, che coinvolgerebbe i seguenti passaggi:
Creare una nuova chiave con un materiale chiave importato dall'attaccante
Ri-cifrare i dati più vecchi cifrati con la versione precedente con la nuova.
Eliminare la chiave KMS
Ora solo l'attaccante, che ha il materiale chiave originale, potrebbe essere in grado di decifrare i dati cifrati
Distruggere le chiavi
Si noti che AWS ora impedisce che le azioni precedenti vengano eseguite da un account esterno:
Last updated