AWS - S3 Post Exploitation

S3

더 많은 정보를 확인하려면:

민감한 정보

가끔 버킷에서 민감한 정보를 읽을 수 있을 수 있습니다. 예를 들어, terraform 상태 비밀 정보.

피벗

다른 플랫폼에서 S3를 사용하여 민감한 자산을 저장할 수 있습니다. 예를 들어, airflow가 DAGs 코드를 거기에 저장하거나 웹 페이지가 S3에서 직접 제공될 수 있습니다. 쓰기 권한이 있는 공격자는 버킷에서 코드를 수정하여 다른 플랫폼으로 피벗하거나 JS 파일을 수정하여 계정 탈취할 수 있습니다.

S3 랜섬웨어

이 시나리오에서 공격자는 자신의 AWS 계정이나 다른 침해된 계정에서 KMS (키 관리 서비스) 키를 생성합니다. 그런 다음 이 키를 전 세계의 누구에게나 액세스할 수 있도록 만들어서 이 키를 사용하여 객체를 암호화할 수 있는 모든 AWS 사용자, 역할 또는 계정을 허용합니다. 그러나 객체는 복호화할 수 없습니다.

공격자는 다양한 방법을 사용하여 대상 S3 버킷에 쓰기 수준의 액세스를 얻습니다. 이는 버킷을 공개적으로 노출시키는 잘못된 버킷 구성 또는 공격자가 AWS 환경 자체에 액세스를 얻는 것 때문일 수 있습니다. 공격자는 일반적으로 개인 식별 정보 (PII), 보호된 건강 정보 (PHI), 로그, 백업 등과 같은 민감한 정보를 포함하는 버킷을 대상으로 선택합니다.

버킷을 랜섬웨어 대상으로 지정할 수 있는지 확인하기 위해 공격자는 버킷의 구성을 확인합니다. 이는 S3 객체 버전 관리가 활성화되어 있는지, 다중 요소 인증 삭제 (MFA 삭제)가 활성화되어 있는지 확인하는 것을 포함합니다. 객체 버전 관리가 비활성화되어 있으면 공격자는 계속 진행할 수 있습니다. 객체 버전 관리가 활성화되어 있지만 MFA 삭제가 비활성화되어 있으면 공격자는 객체 버전 관리를 비활성화할 수 있습니다. 객체 버전 관리와 MFA 삭제가 모두 활성화되어 있는 경우, 특정 버킷을 랜섬웨어 대상으로 만드는 것이 더 어려워집니다.

AWS API를 사용하여 공격자는 KMS 키를 사용하여 버킷의 각 객체를 암호화된 복사본으로 대체합니다. 이렇게 하면 버킷의 데이터가 암호화되어 키 없이는 액세스할 수 없게 됩니다.

더 많은 압력을 가하기 위해 공격자는 공격에 사용된 KMS 키를 삭제 예약합니다. 이렇게 하면 대상이 데이터를 복구할 수 있는 7일의 기간이 주어진 후 키가 삭제되고 데이터가 영구적으로 손실됩니다.

마지막으로, 공격자는 대상에게 파일을 업로드할 수 있습니다. 일반적으로 "ransom-note.txt"라는 이름의 파일로, 여기에 대상이 파일을 검색하는 방법에 대한 지침이 포함되어 있습니다. 이 파일은 암호화되지 않은 채 업로드되며, 대상의 주의를 끌고 랜섬웨어 공격에 대해 인식시키기 위해 업로드됩니다.

더 많은 정보는 원본 연구를 확인하세요.