AWS - S3 Post Exploitation

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

S3

Aby uzyskać więcej informacji, sprawdź:

Informacje poufne

Czasami będziesz w stanie znaleźć informacje poufne w czytelnej formie w kubełkach. Na przykład tajemnice stanu terraform.

Pivoting

Różne platformy mogą używać S3 do przechowywania wrażliwych zasobów. Na przykład airflow może przechowywać kod DAGs tam, a strony internetowe mogą być bezpośrednio serwowane z S3. Atakujący posiadający uprawnienia do zapisu mógłby zmodyfikować kod z kubełka, aby przejść do innych platform lub przejąć konta modyfikując pliki JS.

S3 Ransomware

W tym scenariuszu atakujący tworzy klucz KMS (Key Management Service) w swoim własnym koncie AWS lub innym skompromitowanym koncie. Następnie udostępnia ten klucz każdemu na świecie, umożliwiając każdemu użytkownikowi, roli lub kontu AWS szyfrowanie obiektów przy użyciu tego klucza. Jednak obiekty nie mogą być odszyfrowane.

Atakujący identyfikuje docelowy kubełek S3 i uzyskuje dostęp na poziomie zapisu do niego za pomocą różnych metod. Może to być spowodowane słabą konfiguracją kubełka, która publicznie go eksponuje, lub atakujący uzyskuje dostęp do środowiska AWS. Atakujący zazwyczaj celuje w kubełki zawierające wrażliwe informacje, takie jak dane identyfikujące osobę (PII), chronione informacje zdrowotne (PHI), logi, kopie zapasowe i inne.

Aby określić, czy kubełek może być celem ransomware, atakujący sprawdza jego konfigurację. Obejmuje to weryfikację, czy jest włączone Wersjonowanie obiektów S3 i czy jest włączone usunięcie wieloczynnikowe (MFA delete). Jeśli Wersjonowanie obiektów nie jest włączone, atakujący może kontynuować. Jeśli Wersjonowanie obiektów jest włączone, ale MFA delete jest wyłączone, atakujący może wyłączyć Wersjonowanie obiektów. Jeśli zarówno Wersjonowanie obiektów, jak i MFA delete są włączone, staje się trudniejsze dla atakującego ransomware tego konkretnego kubełka.

Za pomocą interfejsu API AWS atakujący zastępuje każdy obiekt w kubełku zaszyfrowaną kopią przy użyciu swojego klucza KMS. Efektywnie szyfruje to dane w kubełku, uniemożliwiając dostęp do nich bez klucza.

Aby wywierać dalszą presję, atakujący planuje usunięcie klucza KMS użytego w ataku. Daje to celowi 7-dniowe okno czasowe na odzyskanie swoich danych, zanim klucz zostanie usunięty, a dane staną się trwale utracone.

Wreszcie, atakujący mógłby przesłać ostateczny plik, zazwyczaj nazwany "ransom-note.txt", który zawiera instrukcje dla celu dotyczące odzyskania swoich plików. Ten plik jest przesyłany bez szyfrowania, prawdopodobnie aby przyciągnąć uwagę celu i poinformować go o ataku ransomware.

Aby uzyskać więcej informacji sprawdź oryginalne badania.

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago