AWS - Macie Enum

AWS - Enumerazione di Macie

Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

Macie

Amazon Macie si distingue come un servizio progettato per rilevare, classificare e identificare automaticamente i dati all'interno di un account AWS. Sfrutta il machine learning per monitorare e analizzare continuamente i dati, concentrandosi principalmente sulla rilevazione e l'allerta contro attività insolite o sospette esaminando i dati degli eventi di cloud trail e i modelli di comportamento degli utenti.

Caratteristiche chiave di Amazon Macie:

Revisione attiva dei dati: Utilizza il machine learning per revisionare attivamente i dati mentre avvengono varie azioni all'interno dell'account AWS.
Rilevamento delle anomalie: Identifica attività irregolari o modelli di accesso, generando allerte per mitigare i potenziali rischi di esposizione dei dati.
Monitoraggio continuo: Monitora e rileva automaticamente nuovi dati in Amazon S3, utilizzando il machine learning e l'intelligenza artificiale per adattarsi ai modelli di accesso ai dati nel tempo.
Classificazione dei dati con NLP: Utilizza l'elaborazione del linguaggio naturale (NLP) per classificare e interpretare diversi tipi di dati, assegnando punteggi di rischio per prioritizzare le scoperte.
Monitoraggio della sicurezza: Identifica dati sensibili alla sicurezza, inclusi chiavi API, chiavi segrete e informazioni personali, contribuendo a prevenire fughe di dati.

Amazon Macie è un servizio regionale e richiede il ruolo IAM 'AWSMacieServiceCustomerSetupRole' e un AWS CloudTrail abilitato per funzionare.

Sistema di Allerta

Macie categorizza le allerte in categorie predefinite come:

Accesso anonimizzato
Conformità dei dati
Perdita di credenziali
Escalation dei privilegi
Ransomware
Accesso sospetto, ecc.

Queste allerte forniscono descrizioni dettagliate e scomposizioni dei risultati per una risposta e una risoluzione efficaci.

Funzionalità del Cruscotto

Il cruscotto categorizza i dati in varie sezioni, tra cui:

Oggetti S3 (per intervallo di tempo, ACL, PII)
Eventi/utenti CloudTrail ad alto rischio
Posizioni delle attività
Tipi di identità degli utenti CloudTrail, e altro ancora.

Categorizzazione degli Utenti

Gli utenti sono classificati in livelli in base al livello di rischio delle loro chiamate API:

Platino: Chiamate API ad alto rischio, spesso con privilegi di amministratore.
Oro: Chiamate API relative all'infrastruttura.
Argento: Chiamate API a rischio medio.
Bronzo: Chiamate API a basso rischio.

Tipi di Identità

I tipi di identità includono Root, Utente IAM, Ruolo Assunto, Utente Federato, Account AWS e Servizio AWS, indicando la fonte delle richieste.

Classificazione dei Dati

La classificazione dei dati comprende:

Tipo di contenuto: Basato sul tipo di contenuto rilevato.
Estensione del file: Basato sull'estensione del file.
Tema: Categorizzato per parole chiave all'interno dei file.
Regex: Categorizzato in base a modelli regex specifici.

Il rischio più elevato tra queste categorie determina il livello di rischio finale del file.

Ricerca e Analisi

La funzione di ricerca di Amazon Macie consente query personalizzate su tutti i dati di Macie per un'analisi approfondita. I filtri includono Dati CloudTrail, proprietà del bucket S3 e Oggetti S3. Inoltre, supporta l'invito di altri account per condividere Amazon Macie, facilitando la gestione collaborativa dei dati e il monitoraggio della sicurezza.

Enumerazione

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Esploitation

Dal punto di vista di un attaccante, questo servizio non è progettato per rilevare l'attaccante, ma per individuare informazioni sensibili nei file memorizzati. Pertanto, questo servizio potrebbe aiutare un attaccante a trovare informazioni sensibili all'interno dei bucket. Tuttavia, potrebbe interessare anche a un attaccante interromperlo al fine di impedire alla vittima di ricevere avvisi e rubare più facilmente tali informazioni.

TODO: Sono ben accetti i PR!

References

https://cloudacademy.com/blog/introducing-aws-security-hub/

Impara e pratica l'Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago