AWS - S3 Post Exploitation

S3

詳細は次をチェックしてください:

機密情報

時々、バケット内で機密情報を読み取ることができることがあります。たとえば、terraformの状態の秘密情報です。

ピボット

異なるプラットフォームがS3を使用して機密資産を保存している可能性があります。 たとえば、airflowはDAGsのコードをそこに保存しているかもしれませんし、ウェブページが直接S3から提供されているかもしれません。書き込み権限を持つ攻撃者は、バケットからコードを変更して他のプラットフォームにピボットしたり、JSファイルを変更してアカウントを乗っ取ることができます。

S3ランサムウェア

このシナリオでは、攻撃者は自分自身のAWSアカウントまたは他の侵害されたアカウントでKMS（キーマネジメントサービス）キーを作成します。その後、このキーを世界中の誰でもアクセス可能にし、任意のAWSユーザー、ロール、またはアカウントがこのキーを使用してオブジェクトを暗号化できるようにします。ただし、オブジェクトは復号できません。

攻撃者はさまざまな方法を使用して、ターゲットのS3バケットに書き込みレベルのアクセスを取得します。これは、バケットの設定が公開されているか、攻撃者がAWS環境自体にアクセス権を取得しているためです。攻撃者は、通常、個人を特定できる情報（PII）、保護された健康情報（PHI）、ログ、バックアップなどの機密情報を含むバケットをターゲットにします。

バケットをランサムウェアの対象にできるかどうかを判断するために、攻撃者はその構成をチェックします。これには、S3オブジェクトバージョニングが有効かどうか、マルチファクタ認証削除（MFA削除）が有効かどうかを確認します。オブジェクトバージョニングが有効でない場合、攻撃者は進めることができます。オブジェクトバージョニングが有効でもMFA削除が無効である場合、攻撃者はオブジェクトバージョニングを無効にできます。オブジェクトバージョニングとMFA削除の両方が有効な場合、特定のバケットをランサムウェアの対象にするのはより困難になります。

AWS APIを使用して、攻撃者はKMSキーを使用してバケット内の各オブジェクトを暗号化したコピーに置き換えます。これにより、バケット内のデータが暗号化され、キーなしではアクセスできなくなります。

さらに圧力をかけるために、攻撃者は攻撃で使用したKMSキーの削除をスケジュールします。これにより、ターゲットはデータを回復するための7日間のウィンドウが与えられます。その後、キーが削除され、データが永久に失われる前にデータを回収する方法に関する指示が含まれた最終ファイル（通常は「ransom-note.txt」という名前）をアップロードすることができます。このファイルは暗号化されずにアップロードされ、ターゲットの注意を引き、ランサムウェア攻撃に気づかせるためです。

詳細については 元のリサーチをチェックしてください。