AWS Pentesting
Informações Básicas
Antes de começar o teste de penetração em um ambiente AWS, há algumas coisas básicas que você precisa saber sobre como a AWS funciona para ajudá-lo a entender o que precisa fazer, como encontrar configurações incorretas e como explorá-las.
Conceitos como hierarquia de organização, IAM e outros conceitos básicos são explicados em:
pageAWS - Basic InformationLaboratórios para aprender
Ferramentas para simular ataques:
Metodologia de Testador de Penetração/Red Team da AWS
Para auditar um ambiente AWS, é muito importante saber: quais serviços estão sendo usados, o que está sendo exposto, quem tem acesso a quê e como os serviços internos da AWS e os serviços externos estão conectados.
Do ponto de vista de um Red Team, o primeiro passo para comprometer um ambiente AWS é conseguir obter algumas credenciais. Aqui estão algumas ideias de como fazer isso:
Vazamentos no github (ou similar) - OSINT
Engenharia Social
Reutilização de senha (vazamentos de senha)
Vulnerabilidades em Aplicações Hospedadas na AWS
Server Side Request Forgery com acesso ao endpoint de metadados
Leitura de Arquivo Local
/home/USERNAME/.aws/credentials
C:\Users\USERNAME\.aws\credentials
3ºs comprometidos
Funcionário Interno
Credenciais Cognito
Ou comprometendo um serviço não autenticado exposto:
pageAWS - Unauthenticated Enum & AccessOu se você estiver fazendo uma revisão, você poderia simplesmente solicitar credenciais com essas funções:
pageAWS - Permissions for a PentestDepois de conseguir obter credenciais, você precisa saber a quem pertencem essas credenciais e o que elas têm acesso, então você precisa realizar alguma enumeração básica:
Enumeração Básica
SSRF
Se você encontrou um SSRF em uma máquina dentro da AWS, verifique esta página para truques:
Whoami
Uma das primeiras coisas que você precisa saber é quem você é (em qual conta você está e outras informações sobre o ambiente AWS):
Note que as empresas podem usar tokens de canário para identificar quando tokens estão sendo roubados e usados. É recomendável verificar se um token é um token de canário antes de usá-lo. Para mais informações verifique esta página.
Enumeração da Organização
pageAWS - Organizations EnumEnumeração do IAM
Se você tiver permissões suficientes verificar os privilégios de cada entidade dentro da conta AWS ajudará a entender o que você e outras identidades podem fazer e como escalar privilégios.
Se você não tiver permissões suficientes para enumerar o IAM, você pode roubá-las por força bruta para descobri-las. Verifique como fazer a enumeração e força bruta em:
pageAWS - IAM, Identity Center & SSO EnumAgora que você tem algumas informações sobre suas credenciais (e se você é uma equipe vermelha, espero que não tenha sido detectado). É hora de descobrir quais serviços estão sendo usados no ambiente. Na seção a seguir, você pode conferir algumas maneiras de enumerar alguns serviços comuns.
Enumeração de Serviços, Pós-Exploração e Persistência
A AWS possui uma quantidade impressionante de serviços, na página a seguir você encontrará informações básicas, cheatsheets de enumeração, como evitar detecção, obter persistência e outros truques de pós-exploração sobre alguns deles:
pageAWS - ServicesNote que você não precisa realizar todo o trabalho manualmente, abaixo neste post você pode encontrar uma seção sobre ferramentas automáticas.
Além disso, nesta etapa, você pode ter descoberto mais serviços expostos a usuários não autenticados, você pode ser capaz de explorá-los:
pageAWS - Unauthenticated Enum & AccessEscalação de Privilégios
Se você puder verificar pelo menos suas próprias permissões em diferentes recursos, você poderia verificar se é capaz de obter mais permissões. Você deve focar pelo menos nas permissões indicadas em:
pageAWS - Privilege EscalationServiços Expostos Publicamente
Ao enumerar os serviços da AWS, você pode ter encontrado alguns deles expondo elementos para a Internet (portas de VM/Containers, bancos de dados ou serviços de fila, snapshots ou buckets...). Como pentester/equipe vermelha, você sempre deve verificar se consegue encontrar informações sensíveis/vulnerabilidades neles, pois podem fornecer acesso adicional à conta AWS.
Neste livro, você deve encontrar informações sobre como encontrar serviços AWS expostos e como verificá-los. Sobre como encontrar vulnerabilidades em serviços de rede expostos, eu recomendaria que você pesquisasse pelo serviço específico em:
Comprometendo a Organização
Da conta raiz/gerenciamento
Quando a conta de gerenciamento cria novas contas na organização, um novo papel é criado na nova conta, por padrão chamado OrganizationAccountAccessRole
e dando a política AdministratorAccess à conta de gerenciamento para acessar a nova conta.
Portanto, para acessar como administrador uma conta filha, você precisa:
Comprometer a conta de gerenciamento e encontrar o ID das contas filhas e os nomes do papel (OrganizationAccountAccessRole por padrão) permitindo que a conta de gerenciamento acesse como administrador.
Para encontrar contas filhas, vá para a seção de organizações no console da AWS ou execute
aws organizations list-accounts
Você não pode encontrar o nome dos papéis diretamente, então verifique todas as políticas IAM personalizadas e procure por qualquer uma que permita
sts:AssumeRole
sobre as contas filhas previamente descobertas.Comprometer um principal na conta de gerenciamento com permissão
sts:AssumeRole
sobre o papel nas contas filhas (mesmo que a conta permita que qualquer pessoa da conta de gerenciamento se faça passar por ela, como é uma conta externa, permissões específicas dests:AssumeRole
são necessárias).
Ferramentas Automatizadas
Recon
aws-recon: Uma ferramenta de coleta de inventário focada em segurança AWS multi-threaded escrita em Ruby.
cloudlist: Cloudlist é uma ferramenta multi-cloud para obter Ativos (Nomes de Hosts, Endereços IP) de Provedores de Nuvem.
cloudmapper: CloudMapper ajuda você a analisar seus ambientes Amazon Web Services (AWS). Agora contém muito mais funcionalidades, incluindo auditoria para problemas de segurança.
cartography: Cartography é uma ferramenta Python que consolida ativos de infraestrutura e os relacionamentos entre eles em uma visualização gráfica intuitiva alimentada por um banco de dados Neo4j.
starbase: Starbase coleta ativos e relacionamentos de serviços e sistemas, incluindo infraestrutura de nuvem, aplicativos SaaS, controles de segurança e muito mais em uma visualização gráfica intuitiva suportada pelo banco de dados Neo4j.
aws-inventory: (Usa python2) Esta é uma ferramenta que tenta descobrir todos os recursos da AWS criados em uma conta.
aws_public_ips: É uma ferramenta para buscar todos os endereços IP públicos (IPv4/IPv6) associados a uma conta da AWS.
Privesc & Exploração
SkyArk: Descubra os usuários mais privilegiados no ambiente da AWS escaneado, incluindo os Administradores Sombra da AWS. Ele usa powershell. Você pode encontrar a definição de políticas privilegiadas na função
Check-PrivilegedPolicy
em https://github.com/cyberark/SkyArk/blob/master/AWStealth/AWStealth.ps1.pacu: Pacu é um framework de exploração da AWS de código aberto, projetado para testes de segurança ofensiva contra ambientes de nuvem. Ele pode enumerar, encontrar configurações incorretas e explorá-las. Você pode encontrar a definição de permissões privilegiadas em https://github.com/RhinoSecurityLabs/pacu/blob/866376cd711666c775bbfcde0524c817f2c5b181/pacu/modules/iam__privesc_scan/main.py#L134 dentro do dicionário
user_escalation_methods
.Note que o pacu verifica apenas seus próprios caminhos de privesc (não em toda a conta).
PMapper: O Mapeador Principal (PMapper) é um script e biblioteca para identificar riscos na configuração do AWS Identity and Access Management (IAM) para uma conta AWS ou uma organização AWS. Ele modela os diferentes Usuários e Funções IAM em uma conta como um grafo direcionado, o que permite verificar a escalada de privilégios e os caminhos alternativos que um atacante poderia seguir para obter acesso a um recurso ou ação na AWS. Você pode verificar as permissões usadas para encontrar caminhos de escalada de privilégios nos arquivos com nomes terminados em
_edges.py
em https://github.com/nccgroup/PMapper/tree/master/principalmapper/graphing
cloudsplaining: Cloudsplaining é uma ferramenta de Avaliação de Segurança do IAM da AWS que identifica violações do princípio do menor privilégio e gera um relatório HTML priorizado por riscos. Ele mostrará potencialmente clientes com privilégios excessivos, políticas inline e da aws e quais principais têm acesso a elas. (Não verifica apenas a elevação de privilégios, mas também outros tipos de permissões interessantes, recomendado para uso).
cloudjack: O CloudJack avalia contas da AWS em busca de vulnerabilidades de sequestro de subdomínio como resultado de configurações desacopladas do Route53 e CloudFront.
ccat: Listar repositórios ECR -> Puxar repositório ECR -> Inserir backdoor -> Enviar imagem com backdoor
Dufflebag: Dufflebag é uma ferramenta que pesquisa em snapshots públicos de Armazenamento de Bloco Elástico (EBS) em busca de segredos que possam ter sido deixados acidentalmente.
Auditoria
cloudsploit: CloudSploit da Aqua é um projeto de código aberto projetado para permitir a detecção de riscos de segurança em contas de infraestrutura de nuvem, incluindo: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) e GitHub (Não procura por ShadowAdmins).
Prowler: Prowler é uma ferramenta de segurança de código aberto para realizar avaliações das melhores práticas de segurança da AWS, auditorias, resposta a incidentes, monitoramento contínuo, fortalecimento e prontidão para forense.
CloudFox: CloudFox ajuda você a obter consciência situacional em ambientes de nuvem desconhecidos. É uma ferramenta de linha de comando de código aberto criada para ajudar testadores de penetração e outros profissionais de segurança ofensiva a encontrar caminhos de ataque exploráveis em infraestruturas de nuvem.
ScoutSuite: Scout Suite é uma ferramenta de auditoria de segurança multi-cloud de código aberto, que permite a avaliação da postura de segurança de ambientes na nuvem.
cs-suite: Cloud Security Suite (utiliza python2.7 e parece não estar sendo mantido)
Zeus: Zeus é uma ferramenta poderosa para as melhores práticas de endurecimento do AWS EC2 / S3 / CloudTrail / CloudWatch / KMS (parece não estar sendo mantido). Ele verifica apenas credenciais configuradas por padrão dentro do sistema.
Auditoria Constante
cloud-custodian: Cloud Custodian é um mecanismo de regras para gerenciar contas e recursos de nuvem pública. Ele permite aos usuários definir políticas para habilitar uma infraestrutura de nuvem bem gerenciada, que seja segura e otimizada em custos. Ele consolida muitos dos scripts ad hoc que as organizações têm em uma ferramenta leve e flexível, com métricas e relatórios unificados.
pacbot: Policy as Code Bot (PacBot) é uma plataforma para monitoramento contínuo de conformidade, relatórios de conformidade e automação de segurança para a nuvem. No PacBot, políticas de segurança e conformidade são implementadas como código. Todos os recursos descobertos pelo PacBot são avaliados em relação a essas políticas para medir a conformidade da política. O framework de auto-correção do PacBot fornece a capacidade de responder automaticamente a violações de políticas, tomando ações predefinidas.
streamalert: StreamAlert é um framework de análise de dados em tempo real sem servidor que capacita você a ingerir, analisar e alertar sobre dados de qualquer ambiente, usando fontes de dados e lógica de alerta que você define. As equipes de segurança da computação usam o StreamAlert para escanear terabytes de dados de log todos os dias para detecção e resposta a incidentes.
DEBUG: Capturar solicitações do AWS cli
Referências
Última actualización