Informações Básicas

Antes de começar o teste de penetração em um ambiente AWS, há algumas coisas básicas que você precisa saber sobre como a AWS funciona para ajudá-lo a entender o que precisa fazer, como encontrar configurações incorretas e como explorá-las.

Conceitos como hierarquia de organização, IAM e outros conceitos básicos são explicados em:

Laboratórios para aprender

• https://github.com/RhinoSecurityLabs/cloudgoat

• https://github.com/BishopFox/iam-vulnerable

• https://github.com/nccgroup/sadcloud

• https://github.com/bridgecrewio/terragoat

• https://github.com/ine-labs/AWSGoat

• http://flaws.cloud/

• http://flaws2.cloud/

Ferramentas para simular ataques:

• https://github.com/Datadog/stratus-red-team/

• https://github.com/sbasu7241/AWS-Threat-Simulation-and-Detection/tree/main

Metodologia de Testador de Penetração/Red Team da AWS

Para auditar um ambiente AWS, é muito importante saber: quais serviços estão sendo usados, o que está sendo exposto, quem tem acesso a quê e como os serviços internos da AWS e os serviços externos estão conectados.

Do ponto de vista de um Red Team, o primeiro passo para comprometer um ambiente AWS é conseguir obter algumas credenciais. Aqui estão algumas ideias de como fazer isso:

• Vazamentos no github (ou similar) - OSINT

• Engenharia Social

• Reutilização de senha (vazamentos de senha)

• Vulnerabilidades em Aplicações Hospedadas na AWS

• Server Side Request Forgery com acesso ao endpoint de metadados

• Leitura de Arquivo Local

• /home/USERNAME/.aws/credentials

• C:\Users\USERNAME\.aws\credentials

• 3ºs comprometidos

• Funcionário Interno

• Credenciais Cognito

Ou comprometendo um serviço não autenticado exposto:

Ou se você estiver fazendo uma revisão, você poderia simplesmente solicitar credenciais com essas funções:

Enumeração Básica

SSRF

Se você encontrou um SSRF em uma máquina dentro da AWS, verifique esta página para truques:

Whoami

Uma das primeiras coisas que você precisa saber é quem você é (em qual conta você está e outras informações sobre o ambiente AWS):

# Easiest way, but might be monitored?
aws sts get-caller-identity
aws iam get-user # This will get your own user

# If you have a Key ID
aws sts get-access-key-info --access-key-id=ASIA1234567890123456

# Get inside error message
aws sns publish --topic-arn arn:aws:sns:us-east-1:*account id*:aaa --message aaa

# From metadata
TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"`
curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document

Enumeração da Organização

Enumeração do IAM

Se você tiver permissões suficientes verificar os privilégios de cada entidade dentro da conta AWS ajudará a entender o que você e outras identidades podem fazer e como escalar privilégios.

Se você não tiver permissões suficientes para enumerar o IAM, você pode roubá-las por força bruta para descobri-las. Verifique como fazer a enumeração e força bruta em:

Enumeração de Serviços, Pós-Exploração e Persistência

A AWS possui uma quantidade impressionante de serviços, na página a seguir você encontrará informações básicas, cheatsheets de enumeração, como evitar detecção, obter persistência e outros truques de pós-exploração sobre alguns deles:

Note que você não precisa realizar todo o trabalho manualmente, abaixo neste post você pode encontrar uma seção sobre ferramentas automáticas.

Além disso, nesta etapa, você pode ter descoberto mais serviços expostos a usuários não autenticados, você pode ser capaz de explorá-los:

Escalação de Privilégios

Se você puder verificar pelo menos suas próprias permissões em diferentes recursos, você poderia verificar se é capaz de obter mais permissões. Você deve focar pelo menos nas permissões indicadas em:

Serviços Expostos Publicamente

Ao enumerar os serviços da AWS, você pode ter encontrado alguns deles expondo elementos para a Internet (portas de VM/Containers, bancos de dados ou serviços de fila, snapshots ou buckets...). Como pentester/equipe vermelha, você sempre deve verificar se consegue encontrar informações sensíveis/vulnerabilidades neles, pois podem fornecer acesso adicional à conta AWS.

Neste livro, você deve encontrar informações sobre como encontrar serviços AWS expostos e como verificá-los. Sobre como encontrar vulnerabilidades em serviços de rede expostos, eu recomendaria que você pesquisasse pelo serviço específico em:

Comprometendo a Organização

Da conta raiz/gerenciamento

Quando a conta de gerenciamento cria novas contas na organização, um novo papel é criado na nova conta, por padrão chamado OrganizationAccountAccessRole e dando a política AdministratorAccess à conta de gerenciamento para acessar a nova conta.

Portanto, para acessar como administrador uma conta filha, você precisa:

• Comprometer a conta de gerenciamento e encontrar o ID das contas filhas e os nomes do papel (OrganizationAccountAccessRole por padrão) permitindo que a conta de gerenciamento acesse como administrador.

• Para encontrar contas filhas, vá para a seção de organizações no console da AWS ou execute aws organizations list-accounts

• Você não pode encontrar o nome dos papéis diretamente, então verifique todas as políticas IAM personalizadas e procure por qualquer uma que permita sts:AssumeRole sobre as contas filhas previamente descobertas.

• Comprometer um principal na conta de gerenciamento com permissão sts:AssumeRole sobre o papel nas contas filhas (mesmo que a conta permita que qualquer pessoa da conta de gerenciamento se faça passar por ela, como é uma conta externa, permissões específicas de sts:AssumeRole são necessárias).

Ferramentas Automatizadas

Recon

• aws-recon: Uma ferramenta de coleta de inventário focada em segurança AWS multi-threaded escrita em Ruby.

# Install
gem install aws_recon

# Recon and get json
AWS_PROFILE=<profile> aws_recon \
--services S3,EC2 \
--regions global,us-east-1,us-east-2 \
--verbose

• cloudlist: Cloudlist é uma ferramenta multi-cloud para obter Ativos (Nomes de Hosts, Endereços IP) de Provedores de Nuvem.

• cloudmapper: CloudMapper ajuda você a analisar seus ambientes Amazon Web Services (AWS). Agora contém muito mais funcionalidades, incluindo auditoria para problemas de segurança.

# Installation steps in github
# Create a config.json file with the aws info, like:
{
"accounts": [
{
"default": true,
"id": "<account id>",
"name": "dev"
}
],
"cidrs":
{
"2.2.2.2/28": {"name": "NY Office"}
}
}

# Enumerate
python3 cloudmapper.py collect --profile dev
## Number of resources discovered
python3 cloudmapper.py stats --accounts dev

# Create HTML report
## In the report you will find all the info already
python3 cloudmapper.py report --accounts dev

# Identify potential issues
python3 cloudmapper.py audit --accounts dev --json > audit.json
python3 cloudmapper.py audit --accounts dev --markdow > audit.md
python3 cloudmapper.py iam_report --accounts dev

# Identify admins
## The permissions search for are in https://github.com/duo-labs/cloudmapper/blob/4df9fd7303e0337ff16a08f5e58f1d46047c4a87/shared/iam_audit.py#L163-L175
python3 cloudmapper.py find_admins --accounts dev

# Identify unused elements
python3 cloudmapper.py find_unused --accounts dev

# Identify publivly exposed resources
python3 cloudmapper.py public --accounts dev

python cloudmapper.py prepare #Prepare webserver
python cloudmapper.py webserver #Show webserver

• cartography: Cartography é uma ferramenta Python que consolida ativos de infraestrutura e os relacionamentos entre eles em uma visualização gráfica intuitiva alimentada por um banco de dados Neo4j.

# Install
pip install cartography
## At the time of this writting you need neo4j version 3.5.*

# Get AWS info
AWS_PROFILE=dev cartography --neo4j-uri bolt://127.0.0.1:7687 --neo4j-password-prompt  --neo4j-user neo4j

• starbase: Starbase coleta ativos e relacionamentos de serviços e sistemas, incluindo infraestrutura de nuvem, aplicativos SaaS, controles de segurança e muito mais em uma visualização gráfica intuitiva suportada pelo banco de dados Neo4j.

• aws-inventory: (Usa python2) Esta é uma ferramenta que tenta descobrir todos os recursos da AWS criados em uma conta.

• aws_public_ips: É uma ferramenta para buscar todos os endereços IP públicos (IPv4/IPv6) associados a uma conta da AWS.

Privesc & Exploração

• SkyArk: Descubra os usuários mais privilegiados no ambiente da AWS escaneado, incluindo os Administradores Sombra da AWS. Ele usa powershell. Você pode encontrar a definição de políticas privilegiadas na função Check-PrivilegedPolicy em https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.

• pacu: Pacu é um framework de exploração da AWS de código aberto, projetado para testes de segurança ofensiva contra ambientes de nuvem. Ele pode enumerar, encontrar configurações incorretas e explorá-las. Você pode encontrar a definição de permissões privilegiadas em https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 dentro do dicionário user_escalation_methods.

• Note que o pacu verifica apenas seus próprios caminhos de privesc (não em toda a conta).

# Install
## Feel free to use venvs
pip3 install pacu

# Use pacu CLI
pacu
> import_keys <profile_name> # import 1 profile from .aws/credentials
> import_keys --all # import all profiles
> list # list modules
> exec iam__enum_permissions # Get permissions
> exec iam__privesc_scan # List privileged permissions

• PMapper: O Mapeador Principal (PMapper) é um script e biblioteca para identificar riscos na configuração do AWS Identity and Access Management (IAM) para uma conta AWS ou uma organização AWS. Ele modela os diferentes Usuários e Funções IAM em uma conta como um grafo direcionado, o que permite verificar a escalada de privilégios e os caminhos alternativos que um atacante poderia seguir para obter acesso a um recurso ou ação na AWS. Você pode verificar as permissões usadas para encontrar caminhos de escalada de privilégios nos arquivos com nomes terminados em _edges.py em https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing

# Install
pip install principalmapper

# Get data
pmapper --profile dev graph create
pmapper --profile dev graph display # Show basic info
# Generate graph
pmapper --profile dev visualize # Generate svg graph file (can also be png, dot and graphml)
pmapper --profile dev visualize --only-privesc # Only privesc permissions

# Generate analysis
pmapper --profile dev analysis
## Run queries
pmapper --profile dev query 'who can do iam:CreateUser'
pmapper --profile dev query 'preset privesc *' # Get privescs with admins

# Get organization hierarchy data
pmapper --profile dev orgs create
pmapper --profile dev orgs display

• cloudsplaining: Cloudsplaining é uma ferramenta de Avaliação de Segurança do IAM da AWS que identifica violações do princípio do menor privilégio e gera um relatório HTML priorizado por riscos. Ele mostrará potencialmente clientes com privilégios excessivos, políticas inline e da aws e quais principais têm acesso a elas. (Não verifica apenas a elevação de privilégios, mas também outros tipos de permissões interessantes, recomendado para uso).

# Install
pip install cloudsplaining

# Download IAM policies to check
## Only the ones attached with the versions used
cloudsplaining download --profile dev

# Analyze the IAM policies
cloudsplaining scan --input-file /private/tmp/cloudsplaining/dev.json --output /tmp/files/

• cloudjack: O CloudJack avalia contas da AWS em busca de vulnerabilidades de sequestro de subdomínio como resultado de configurações desacopladas do Route53 e CloudFront.

• ccat: Listar repositórios ECR -> Puxar repositório ECR -> Inserir backdoor -> Enviar imagem com backdoor

• Dufflebag: Dufflebag é uma ferramenta que pesquisa em snapshots públicos de Armazenamento de Bloco Elástico (EBS) em busca de segredos que possam ter sido deixados acidentalmente.

Auditoria

• cloudsploit: CloudSploit da Aqua é um projeto de código aberto projetado para permitir a detecção de riscos de segurança em contas de infraestrutura de nuvem, incluindo: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) e GitHub (Não procura por ShadowAdmins).

./index.js --csv=file.csv --console=table --config ./config.js

# Compiance options: --compliance {hipaa,cis,cis1,cis2,pci}
## use "cis" for cis level 1 and 2

• Prowler: Prowler é uma ferramenta de segurança de código aberto para realizar avaliações das melhores práticas de segurança da AWS, auditorias, resposta a incidentes, monitoramento contínuo, fortalecimento e prontidão para forense.

# Install python3, jq and git
# Install
pip install prowler
prowler -v

# Run
prowler <provider>
prowler aws --profile custom-profile [-M csv json json-asff html]

• CloudFox: CloudFox ajuda você a obter consciência situacional em ambientes de nuvem desconhecidos. É uma ferramenta de linha de comando de código aberto criada para ajudar testadores de penetração e outros profissionais de segurança ofensiva a encontrar caminhos de ataque exploráveis em infraestruturas de nuvem.

cloudfox aws --profile [profile-name] all-checks

• ScoutSuite: Scout Suite é uma ferramenta de auditoria de segurança multi-cloud de código aberto, que permite a avaliação da postura de segurança de ambientes na nuvem.

# Install
virtualenv -p python3 venv
source venv/bin/activate
pip install scoutsuite
scout --help

# Get info
scout aws -p dev

• cs-suite: Cloud Security Suite (utiliza python2.7 e parece não estar sendo mantido)

• Zeus: Zeus é uma ferramenta poderosa para as melhores práticas de endurecimento do AWS EC2 / S3 / CloudTrail / CloudWatch / KMS (parece não estar sendo mantido). Ele verifica apenas credenciais configuradas por padrão dentro do sistema.

Auditoria Constante

• cloud-custodian: Cloud Custodian é um mecanismo de regras para gerenciar contas e recursos de nuvem pública. Ele permite aos usuários definir políticas para habilitar uma infraestrutura de nuvem bem gerenciada, que seja segura e otimizada em custos. Ele consolida muitos dos scripts ad hoc que as organizações têm em uma ferramenta leve e flexível, com métricas e relatórios unificados.

• pacbot: Policy as Code Bot (PacBot) é uma plataforma para monitoramento contínuo de conformidade, relatórios de conformidade e automação de segurança para a nuvem. No PacBot, políticas de segurança e conformidade são implementadas como código. Todos os recursos descobertos pelo PacBot são avaliados em relação a essas políticas para medir a conformidade da política. O framework de auto-correção do PacBot fornece a capacidade de responder automaticamente a violações de políticas, tomando ações predefinidas.

• streamalert: StreamAlert é um framework de análise de dados em tempo real sem servidor que capacita você a ingerir, analisar e alertar sobre dados de qualquer ambiente, usando fontes de dados e lógica de alerta que você define. As equipes de segurança da computação usam o StreamAlert para escanear terabytes de dados de log todos os dias para detecção e resposta a incidentes.

DEBUG: Capturar solicitações do AWS cli

# Set proxy
export HTTP_PROXY=http://localhost:8080
export HTTPS_PROXY=http://localhost:8080

# Capture with burp nor verifying ssl
aws --no-verify-ssl ...

# Dowload brup cert and transform it to pem
curl http://127.0.0.1:8080/cert --output Downloads/certificate.cer
openssl x509 -inform der -in Downloads/certificate.cer -out Downloads/certificate.pem

# Indicate the ca cert to trust
export AWS_CA_BUNDLE=~/Downloads/certificate.pem

# Run aws cli normally trusting burp cert
aws ...

Referências

• https://www.youtube.com/watch?v=8ZXRw4Ry3mQ

• https://cloudsecdocs.com/aws/defensive/tooling/audit/