AWS - KMS Post Exploitation
KMS
Aby uzyskać więcej informacji, sprawdź:
pageAWS - KMS EnumSzyfrowanie/Odszyfrowywanie informacji
Korzystając z klucza symetrycznego
Korzystanie z klucza asymetrycznego:
KMS Ransomware
Atakujący mający uprzywilejowany dostęp do KMS mógłby zmodyfikować politykę KMS kluczy i udzielić swojemu kontu dostępu do nich, usuwając dostęp udzielony prawidłowemu kontu.
Następnie użytkownicy prawidłowego konta nie będą w stanie uzyskać dostępu do żadnych informacji z usługi, która została zaszyfrowana tymi kluczami, tworząc prosty, ale skuteczny ransomware na koncie.
Zauważ, że zarządzane klucze AWS nie są dotknięte tym atakiem, dotyczy to tylko kluczy zarządzanych przez klienta.
Zauważ również konieczność użycia parametru --bypass-policy-lockout-safety-check
(brak tej opcji w konsoli internetowej sprawia, że atak ten jest możliwy tylko z wiersza poleceń).
Zauważ, że jeśli zmienisz tę politykę i udzielić dostępu tylko zewnętrznemu kontu, a następnie z tego zewnętrznego konta spróbujesz ustawić nową politykę, aby przywrócić dostęp do pierwotnego konta, nie będziesz w stanie.
Ogólny ransomware KMS
Globalny ransomware KMS
Istnieje inny sposób przeprowadzenia globalnego ransomware KMS, który obejmowałby następujące kroki:
Utwórz nowy klucz z materiałem klucza zaimportowanym przez atakującego
Ponownie zaszyfruj starsze dane zaszyfrowane poprzednią wersją nowym kluczem.
Usuń klucz KMS
Teraz tylko atakujący, który ma oryginalny materiał klucza, będzie w stanie odszyfrować zaszyfrowane dane
Usuwanie kluczy
Należy zauważyć, że AWS teraz uniemożliwia wykonanie wcześniejszych działań z innego konta:
Last updated