AWS - Macie Enum

Aprenda hacking na AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Macie

O Amazon Macie se destaca como um serviço projetado para detectar, classificar e identificar dados dentro de uma conta AWS. Ele utiliza aprendizado de máquina para monitorar e analisar continuamente dados, focando principalmente em detectar e alertar contra atividades incomuns ou suspeitas, examinando dados de eventos de cloud trail e padrões de comportamento do usuário.

Recursos principais do Amazon Macie:

Revisão Ativa de Dados: Utiliza aprendizado de máquina para revisar ativamente dados à medida que várias ações ocorrem na conta AWS.
Detecção de Anomalias: Identifica atividades irregulares ou padrões de acesso, gerando alertas para mitigar potenciais riscos de exposição de dados.
Monitoramento Contínuo: Monitora e detecta automaticamente novos dados no Amazon S3, utilizando aprendizado de máquina e inteligência artificial para se adaptar aos padrões de acesso aos dados ao longo do tempo.
Classificação de Dados com NLP: Utiliza processamento de linguagem natural (NLP) para classificar e interpretar diferentes tipos de dados, atribuindo pontuações de risco para priorizar descobertas.
Monitoramento de Segurança: Identifica dados sensíveis à segurança, incluindo chaves de API, chaves secretas e informações pessoais, ajudando a prevenir vazamentos de dados.

O Amazon Macie é um serviço regional e requer a função IAM 'AWSMacieServiceCustomerSetupRole' e um AWS CloudTrail habilitado para funcionar.

Sistema de Alerta

O Macie categoriza alertas em categorias predefinidas como:

Acesso anonimizado
Conformidade de dados
Perda de credenciais
Escalação de privilégios
Ransomware
Acesso suspeito, etc.

Esses alertas fornecem descrições detalhadas e análises de resultados para uma resposta e resolução eficazes.

Recursos do Painel

O painel categoriza dados em várias seções, incluindo:

Objetos S3 (por intervalo de tempo, ACL, PII)
Eventos/Usuários de CloudTrail de alto risco
Locais de atividade
Tipos de identidade de usuário do CloudTrail e muito mais.

Categorização de Usuários

Os usuários são classificados em níveis com base no nível de risco de suas chamadas de API:

Platinum: Chamadas de API de alto risco, frequentemente com privilégios de administrador.
Gold: Chamadas de API relacionadas à infraestrutura.
Silver: Chamadas de API de médio risco.
Bronze: Chamadas de API de baixo risco.

Tipos de Identidade

Os tipos de identidade incluem Root, IAM user, Assumed Role, Federated User, AWS Account e AWS Service, indicando a origem das solicitações.

Classificação de Dados

A classificação de dados engloba:

Tipo de Conteúdo: Com base no tipo de conteúdo detectado.
Extensão de Arquivo: Com base na extensão do arquivo.
Tema: Categorizado por palavras-chave dentro dos arquivos.
Regex: Categorizado com base em padrões de regex específicos.

O maior risco entre essas categorias determina o nível de risco final do arquivo.

Pesquisa e Análise

A função de pesquisa do Amazon Macie permite consultas personalizadas em todos os dados do Macie para análises detalhadas. Os filtros incluem Dados do CloudTrail, propriedades do Bucket S3 e Objetos S3. Além disso, ele suporta convidar outras contas para compartilhar o Amazon Macie, facilitando a gestão colaborativa de dados e monitoramento de segurança.

Enumeração

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Pós Exploração

Do ponto de vista de um atacante, este serviço não é feito para detectar o atacante, mas sim para detectar informações sensíveis nos arquivos armazenados. Portanto, este serviço pode ajudar um atacante a encontrar informações sensíveis dentro dos buckets. No entanto, talvez um atacante também possa estar interessado em interrompê-lo para evitar que a vítima receba alertas e roubar essas informações mais facilmente.

TODO: Pull Requests são bem-vindos!

Referências

https://cloudacademy.com/blog/introducing-aws-security-hub/

Aprenda hacking na AWS de zero a herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

Se você deseja ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, verifique os PLANOS DE ASSINATURA!
Adquira o oficial PEASS & HackTricks swag
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe seus truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

AnteriorAWS - Inspector Enum SiguienteAWS - Security Hub Enum

Última actualización hace 3 meses