AWS - S3 Post Exploitation

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial do PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

S3

Para mais informações, consulte:

Informações Sensíveis

Às vezes, você poderá encontrar informações sensíveis legíveis nos buckets. Por exemplo, segredos de estado do terraform.

Pivotagem

Diferentes plataformas podem estar usando o S3 para armazenar ativos sensíveis. Por exemplo, o airflow poderia estar armazenando código DAGs lá, ou páginas da web poderiam ser servidas diretamente do S3. Um atacante com permissões de gravação poderia modificar o código do bucket para pivotar para outras plataformas, ou assumir contas modificando arquivos JS.

Ransomware do S3

Neste cenário, o atacante cria uma chave KMS (Key Management Service) em sua própria conta AWS ou em outra conta comprometida. Em seguida, torna esta chave acessível a qualquer pessoa no mundo, permitindo que qualquer usuário, função ou conta da AWS criptografe objetos usando esta chave. No entanto, os objetos não podem ser descriptografados.

O atacante identifica um bucket S3 de destino e obtém acesso de nível de gravação a ele usando vários métodos. Isso pode ser devido a uma configuração de bucket fraca que o expõe publicamente ou o atacante obtendo acesso ao próprio ambiente AWS. O atacante geralmente mira em buckets que contêm informações sensíveis, como informações de identificação pessoal (PII), informações de saúde protegidas (PHI), logs, backups e muito mais.

Para determinar se o bucket pode ser alvo de ransomware, o atacante verifica sua configuração. Isso inclui verificar se a Versão de Objetos S3 está ativada e se o delete de autenticação multifator (MFA delete) está ativado. Se a Versão de Objetos não estiver ativada, o atacante pode prosseguir. Se a Versão de Objetos estiver ativada, mas o MFA delete estiver desativado, o atacante pode desativar a Versão de Objetos. Se tanto a Versão de Objetos quanto o MFA delete estiverem ativados, torna-se mais difícil para o atacante ransomware aquele bucket específico.

Usando a API da AWS, o atacante substitui cada objeto no bucket por uma cópia criptografada usando sua chave KMS. Isso efetivamente criptografa os dados no bucket, tornando-os inacessíveis sem a chave.

Para adicionar mais pressão, o atacante agenda a exclusão da chave KMS usada no ataque. Isso dá ao alvo uma janela de 7 dias para recuperar seus dados antes que a chave seja excluída e os dados sejam perdidos permanentemente.

Por fim, o atacante poderia fazer upload de um arquivo final, geralmente chamado "ransom-note.txt", que contém instruções para o alvo sobre como recuperar seus arquivos. Este arquivo é enviado sem criptografia, provavelmente para chamar a atenção do alvo e fazê-lo ciente do ataque de ransomware.

Para mais informações verifique a pesquisa original.

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial do PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.

AnteriorAWS - RDS Post Exploitation SiguienteAWS - Secrets Manager Post Exploitation

Última actualización hace 1 mes