AWS - KMS Post Exploitation
KMS
詳細については、以下を確認してください:
情報の暗号化/復号化
ファイル内のデータを復号化したい場合、そのファイルにはバイナリデータが含まれている必要があり、base64エンコードされたデータではありません。
対称キーを使用して
非対称キーを使用する:
KMS ランサムウェア
KMS に対する特権アクセスを持つ攻撃者は、キーの KMS ポリシーを変更し、自分のアカウントに対するアクセスを付与し、正当なアカウントに付与されたアクセスを削除することができます。
その結果、正当なアカウントのユーザーは、これらのキーで暗号化されたサービスの情報にアクセスできなくなり、アカウントに対する簡単だが効果的なランサムウェアが作成されます。
AWS 管理キーはこの攻撃の影響を受けません、顧客管理キーのみが影響を受けます。
また、パラメータ --bypass-policy-lockout-safety-check
を使用する必要があることに注意してください(ウェブコンソールにこのオプションがないため、この攻撃は CLI からのみ可能です)。
注意してください。ポリシーを変更して外部アカウントにのみアクセスを与え、その外部アカウントから新しいポリシーを設定して元のアカウントにアクセスを戻そうとしても、できません。
一般的なKMSランサムウェア
グローバルKMSランサムウェア
グローバルKMSランサムウェアを実行する別の方法があり、以下の手順が含まれます:
攻撃者によってインポートされたキー素材を持つ新しいキーを作成する
古いデータを再暗号化する 新しいキーで以前のバージョンで暗号化されたデータ
KMSキーを削除する
これで、元のキー素材を持つ攻撃者だけが暗号化されたデータを復号化できるようになります
キーを破壊する
AWSは現在、クロスアカウントからの前述のアクションの実行を防止しています:
Last updated