AWS - EBS Snapshot Dump
Verificando um snapshot localmente
Nota que dsnap
não permitirá que você baixe snapshots públicos. Para contornar isso, você pode fazer uma cópia do snapshot em sua conta pessoal e baixá-lo:
Para mais informações sobre essa técnica, confira a pesquisa original em https://rhinosecuritylabs.com/aws/exploring-aws-ebs-snapshots/
Você pode fazer isso com o Pacu usando o módulo ebs__download_snapshots
Verificando um snapshot na AWS
Monte-o em uma VM EC2 sob seu controle (deve estar na mesma região que a cópia do backup):
Passo 1: Crie um novo volume do tamanho e tipo desejados acessando EC2 -> Volumes.
Para realizar essa ação, siga estes comandos:
Crie um volume EBS para anexar à instância EC2.
Certifique-se de que o volume EBS e a instância estejam na mesma zona.
Passo 2: Selecione a opção "anexar volume" clicando com o botão direito no volume criado.
Passo 3: Selecione a instância na caixa de texto da instância.
Para realizar essa ação, use o seguinte comando:
Anexe o volume EBS.
Passo 4: Faça login na instância EC2 e liste os discos disponíveis usando o comando lsblk
.
Passo 5: Verifique se o volume possui algum dado usando o comando sudo file -s /dev/xvdf
.
Se a saída do comando acima mostrar "/dev/xvdf: data", significa que o volume está vazio.
Passo 6: Formate o volume para o sistema de arquivos ext4 usando o comando sudo mkfs -t ext4 /dev/xvdf
. Alternativamente, você também pode usar o formato xfs usando o comando sudo mkfs -t xfs /dev/xvdf
. Por favor, note que você deve usar ext4 ou xfs.
Passo 7: Crie um diretório de sua escolha para montar o novo volume ext4. Por exemplo, você pode usar o nome "novovolume".
Para realizar essa ação, use o comando sudo mkdir /novovolume
.
Passo 8: Monte o volume no diretório "novovolume" usando o comando sudo mount /dev/xvdf /novovolume/
.
Passo 9: Altere o diretório para o diretório "novovolume" e verifique o espaço em disco para validar a montagem do volume.
Para realizar essa ação, use os seguintes comandos:
Altere o diretório para
/novovolume
.Verifique o espaço em disco usando o comando
df -h .
. A saída deste comando deve mostrar o espaço livre no diretório "novovolume".
Você pode fazer isso com o Pacu usando o módulo ebs__explore_snapshots
.
Verificando um snapshot na AWS (usando cli)
Cópia de Sombra
Qualquer usuário da AWS que possua a permissão EC2:CreateSnapshot
pode roubar os hashes de todos os usuários do domínio criando um snapshot do Controlador de Domínio, montando-o em uma instância que controlam e exportando o arquivo NTDS.dit e o hive do registro SYSTEM para uso com o projeto secretsdump do Impacket.
Você pode usar esta ferramenta para automatizar o ataque: https://github.com/Static-Flow/CloudCopy ou poderia usar uma das técnicas anteriores após criar um snapshot.
Referências
Última actualización