AWS - S3 Post Exploitation

Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na githubie.

S3

Aby uzyskać więcej informacji, sprawdź:

AWS - S3, Athena & Glacier Enum

Informacje poufne

Czasami będziesz w stanie znaleźć informacje poufne w czytelnej formie w kubełkach. Na przykład tajne dane stanu terraform.

Pivoting

Różne platformy mogą używać S3 do przechowywania wrażliwych zasobów. Na przykład airflow może przechowywać kod DAGs tam, a strony internetowe mogą być bezpośrednio serwowane z S3. Atakujący posiadający uprawnienia do zapisu mógłby zmodyfikować kod z kubełka, aby przejść do innych platform lub przejąć konta modyfikując pliki JS.

Ransomware S3

W tym scenariuszu atakujący tworzy klucz KMS (Key Management Service) w swoim własnym koncie AWS lub innym skompromitowanym koncie. Następnie udostępnia ten klucz każdemu na świecie, pozwalając każdemu użytkownikowi, roli lub kontu AWS na szyfrowanie obiektów przy użyciu tego klucza. Jednak obiekty nie mogą być odszyfrowane.

Atakujący identyfikuje docelowy kubełek S3 i uzyskuje dostęp na poziomie zapisu do niego za pomocą różnych metod. Może to być spowodowane słabą konfiguracją kubełka, która go publicznie eksponuje, lub atakujący uzyskuje dostęp do środowiska AWS. Atakujący zazwyczaj celuje w kubełki zawierające wrażliwe informacje, takie jak dane identyfikujące osobę (PII), chronione informacje zdrowotne (PHI), logi, kopie zapasowe i inne.

Aby określić, czy kubełek może być celem ransomware, atakujący sprawdza jego konfigurację. Obejmuje to weryfikację, czy jest włączone Wersjonowanie obiektów S3 i czy jest włączone usunięcie wieloczynnikowe (MFA delete). Jeśli wersjonowanie obiektów nie jest włączone, atakujący może kontynuować. Jeśli wersjonowanie obiektów jest włączone, ale usunięcie wieloczynnikowe jest wyłączone, atakujący może wyłączyć wersjonowanie obiektów. Jeśli zarówno wersjonowanie obiektów, jak i usunięcie wieloczynnikowe są włączone, atakującemu trudniej jest ransomware tego konkretnego kubełka.

Korzystając z interfejsu API AWS, atakujący zastępuje każdy obiekt w kubełku zaszyfrowaną kopią przy użyciu swojego klucza KMS. Efektywnie szyfruje to dane w kubełku, uniemożliwiając dostęp do nich bez klucza.

Aby wywierać większą presję, atakujący planuje usunięcie klucza KMS użytego w ataku. Daje to celowi 7-dniowe okno czasowe na odzyskanie swoich danych przed usunięciem klucza i trwałą utratą danych.

Wreszcie, atakujący mógłby przesłać ostateczny plik, zazwyczaj nazwany "ransom-note.txt", który zawiera instrukcje dla celu dotyczące odzyskania swoich plików. Ten plik jest przesyłany bez szyfrowania, prawdopodobnie aby przyciągnąć uwagę celu i poinformować go o ataku ransomware.

Aby uzyskać więcej informacji sprawdź oryginalne badania.

Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na githubie.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago