AWS - KMS Post Exploitation
KMS
Para mais informações, verifique:
pageAWS - KMS EnumCriptografar/Descriptografar informações
Usando uma chave simétrica
Usando uma chave assimétrica:
Ransomware do KMS
Um atacante com acesso privilegiado sobre o KMS poderia modificar a política do KMS das chaves e conceder acesso à sua conta sobre elas, removendo o acesso concedido à conta legítima.
Assim, os usuários da conta legítima não poderão acessar nenhuma informação de qualquer serviço que tenha sido criptografado com essas chaves, criando um ransomware fácil, mas eficaz, sobre a conta.
Observe que as chaves gerenciadas pela AWS não são afetadas por esse ataque, apenas as chaves gerenciadas pelo cliente.
Também observe a necessidade de usar o parâmetro --bypass-policy-lockout-safety-check
(a falta dessa opção no console da web torna esse ataque possível apenas pela CLI).
Note que se você alterar essa política e conceder acesso apenas a uma conta externa e, em seguida, a partir dessa conta externa, tentar definir uma nova política para devolver o acesso à conta original, você não conseguirá.
Ransomware Genérico do KMS
Ransomware do KMS Global
Existe outra maneira de realizar um Ransomware do KMS global, que envolveria os seguintes passos:
Criar uma nova chave com um material de chave importado pelo atacante
Recriptografar dados antigos criptografados com a versão anterior com a nova chave.
Excluir a chave do KMS
Agora, apenas o atacante, que possui o material da chave original, poderia decifrar os dados criptografados
Destruir chaves
Note que a AWS agora impede que as ações anteriores sejam realizadas de uma conta cruzada:
Última actualización