AWS - Macie Enum

AWS 해킹을 배우고 실습하세요: HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹을 배우고 실습하세요: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원하기

구독 요금제를 확인하세요!
💬 디스코드 그룹 또는 텔레그램 그룹에 가입하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃헙 저장소에 PR을 제출하여 해킹 요령을 공유하세요.

Macie

Amazon Macie는 AWS 계정 내에서 데이터를 자동으로 감지, 분류 및 식별하는 서비스로, 머신 러닝을 활용하여 데이터를 지속적으로 모니터링하고 분석하며, 주로 클라우드 트레일 이벤트 데이터 및 사용자 행동 패턴을 검토하여 이상 또는 의심스러운 활동을 감지하고 경고합니다.

Amazon Macie의 주요 기능:

활성 데이터 검토: AWS 계정 내에서 다양한 작업이 발생할 때 머신 러닝을 활용하여 데이터를 활성적으로 검토합니다.
이상 감지: 비정상적인 활동 또는 액세스 패턴을 식별하여 잠재적인 데이터 노출 위험을 완화하기 위한 경고를 생성합니다.
지속적인 모니터링: Amazon S3에서 새로운 데이터를 자동으로 모니터링하고 감지하며, 시간이 지남에 따라 데이터 액세스 패턴에 적응하기 위해 머신 러닝과 인공 지능을 활용합니다.
NLP를 활용한 데이터 분류: 자연어 처리(NLP)를 활용하여 다양한 데이터 유형을 분류하고 해석하며, 발견을 우선 순위로 지정하기 위해 위험 점수를 할당합니다.
보안 모니터링: API 키, 비밀 키 및 개인 정보를 포함한 보안에 민감한 데이터를 식별하여 데이터 누출을 방지합니다.

Amazon Macie는 지역 서비스이며 기능을 위해 'AWSMacieServiceCustomerSetupRole' IAM 역할과 활성화된 AWS CloudTrail이 필요합니다.

경보 시스템

Macie는 다음과 같은 사전 정의된 범주로 경보를 분류합니다:

익명화된 액세스
데이터 준수
자격 증명 손실
권한 상승
랜섬웨어
의심스러운 액세스 등.

이러한 경보는 효과적인 대응 및 해결을 위해 자세한 설명과 결과 분석을 제공합니다.

대시보드 기능

대시보드는 다음과 같은 다양한 섹션으로 데이터를 분류합니다:

S3 객체(시간 범위, ACL, PII)
고위험 CloudTrail 이벤트/사용자
활동 위치
CloudTrail 사용자 ID 유형 등.

사용자 분류

사용자는 API 호출의 위험 수준을 기반으로 티어로 분류됩니다:

플래티넘: 관리자 권한을 가진 고위험 API 호출.
골드: 인프라 관련 API 호출.
실버: 중위험 API 호출.
브론즈: 저위험 API 호출.

ID 유형

ID 유형에는 루트, IAM 사용자, 가정 역할, 연합 사용자, AWS 계정 및 AWS 서비스가 포함되어 있으며, 요청의 출처를 나타냅니다.

데이터 분류

데이터 분류에는 다음이 포함됩니다:

콘텐츠 유형: 감지된 콘텐츠 유형을 기반으로 함.
파일 확장자: 파일 확장자를 기반으로 함.
주제: 파일 내의 키워드로 분류됨.
정규식: 특정 정규식 패턴을 기반으로 분류됨.

이러한 범주 중에서 가장 높은 위험 수준이 파일의 최종 위험 수준을 결정합니다.

연구 및 분석

Amazon Macie의 연구 기능을 통해 깊은 분석을 위해 모든 Macie 데이터를 대상으로 사용자 정의 쿼리를 수행할 수 있습니다. 필터에는 CloudTrail 데이터, S3 버킷 속성 및 S3 객체가 포함됩니다. 또한, 다른 계정을 Amazon Macie를 공유하도록 초대하고 협업 데이터 관리 및 보안 모니터링을 용이하게 합니다.

열거

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

포스트 익스플로잇레이션

공격자의 관점에서 볼 때, 이 서비스는 공격자를 탐지하는 데 사용되는 것이 아니라 저장된 파일에서 민감한 정보를 탐지하는 데 사용됩니다. 따라서, 이 서비스는 어떤 공격자가 버킷 내에서 민감한 정보를 찾는 데 도움이 될 수 있습니다. 그러나 공격자는 피해자가 경보를 받지 못하도록 방해하고 그 정보를 쉽게 훔치기 위해 이를 방해하는 데 관심이 있을 수도 있습니다.

TODO: PRs are welcome!

참고 자료

https://cloudacademy.com/blog/introducing-aws-security-hub/

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks 지원

구독 요금제를 확인하세요!
💬 디스코드 그룹 또는 텔레그램 그룹에 참여하거나 트위터 🐦 @hacktricks_live를 팔로우하세요.
HackTricks 및 HackTricks Cloud 깃헙 레포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago