AWS - S3 Post Exploitation
S3
더 많은 정보를 확인하려면:
pageAWS - S3, Athena & Glacier Enum민감한 정보
가끔 버킷에서 읽을 수 있는 민감한 정보를 찾을 수 있습니다. 예를 들어, terraform 상태 비밀 정보.
피벗
다른 플랫폼은 S3를 사용하여 민감한 자산을 저장할 수 있습니다. 예를 들어, airflow가 DAGs 코드를 거기에 저장하거나 웹 페이지가 S3에서 직접 제공될 수 있습니다. 쓰기 권한이 있는 공격자는 버킷에서 코드를 수정하여 다른 플랫폼으로 피벗하거나 JS 파일을 수정하여 계정 탈취할 수 있습니다.
S3 랜섬웨어
이 시나리오에서 공격자는 자신의 AWS 계정이나 다른 침해된 계정에서 KMS (키 관리 서비스) 키를 생성합니다. 그런 다음 이 키를 전 세계의 누구에게나 액세스할 수 있도록 만들어서 이 키를 사용하여 객체를 암호화할 수 있게 합니다. 그러나 객체는 복호화할 수 없습니다.
공격자는 다양한 방법을 사용하여 대상 S3 버킷에 대한 쓰기 수준 액세스를 얻습니다. 이는 버킷을 공개적으로 노출시키는 잘못된 버킷 구성 또는 공격자가 AWS 환경 자체에 액세스하는 것에 기인할 수 있습니다. 공격자는 일반적으로 개인 식별 정보 (PII), 보호된 건강 정보 (PHI), 로그, 백업 등과 같은 민감한 정보를 포함하는 버킷을 대상으로 선택합니다.
버킷이 랜섬웨어 대상으로 지정될 수 있는지 확인하기 위해 공격자는 버킷의 구성을 확인합니다. 이는 S3 객체 버전 관리가 활성화되어 있는지 및 다중 요소 인증 삭제 (MFA 삭제)가 활성화되어 있는지 확인하는 것을 포함합니다. 객체 버전 관리가 활성화되어 있지 않으면 공격자는 계속 진행할 수 있습니다. 객체 버전 관리가 활성화되어 있지만 MFA 삭제가 비활성화되어 있는 경우, 공격자는 객체 버전 관리를 비활성화할 수 있습니다. 객체 버전 관리와 MFA 삭제가 모두 활성화되어 있는 경우, 특정 버킷에 대한 랜섬웨어를 실행하는 것이 더 어려워집니다.
AWS API를 사용하여 공격자는 KMS 키를 사용하여 버킷의 각 객체를 암호화된 복사본으로 대체합니다. 이렇게 하면 버킷의 데이터가 암호화되어 키 없이는 액세스할 수 없게 됩니다.
더 많은 압력을 가하기 위해 공격자는 공격에 사용된 KMS 키를 삭제 예약합니다. 이로써 대상은 키가 삭제되고 데이터가 영구적으로 손실되기 전에 7일 동안 데이터를 복구할 수 있는 기회를 얻습니다.
마지막으로, 공격자는 대상이 파일을 회수하는 방법에 대한 지침이 포함된 일반적으로 "ransom-note.txt"라는 최종 파일을 업로드할 수 있습니다. 이 파일은 암호화되지 않은 채로 업로드되며, 대상의 주의를 끌고 랜섬웨어 공격에 대해 인식시키기 위해 업로드됩니다.
더 많은 정보는 원본 연구를 확인하세요.
最終更新