AWS - KMS Post Exploitation
KMS
Kwa maelezo zaidi angalia:
Encrypt/Decrypt information
Kumbuka kwamba ikiwa unataka kufungua baadhi ya data ndani ya faili, faili lazima iwe na data ya binary, si data iliyokodishwa kwa base64.
Kutumia symmetric key
Kutumia asymmetric ufunguo:
KMS Ransomware
Mshambuliaji mwenye ufikiaji wa kipaumbele juu ya KMS anaweza kubadilisha sera ya KMS ya funguo na kutoa ufikiaji wa akaunti yake juu yao, akiondoa ufikiaji uliopewa kwa akaunti halali.
Hivyo, watumiaji wa akaunti halali hawataweza kufikia taarifa yoyote ya huduma yoyote ambayo imekuwa imefichwa kwa kutumia funguo hizo, na kuunda ransomware rahisi lakini yenye ufanisi juu ya akaunti hiyo.
Kumbuka kwamba funguo zinazodhibitiwa na AWS hazihusiki na shambulio hili, ni funguo zinazodhibitiwa na Mteja pekee.
Pia kumbuka hitaji la kutumia param --bypass-policy-lockout-safety-check
(ukosefu wa chaguo hili kwenye konso ya wavuti unafanya shambulio hili liwezekane tu kutoka CLI).
Kumbuka kwamba ikiwa utabadilisha sera hiyo na kutoa ufikiaji tu kwa akaunti ya nje, na kisha kutoka kwa akaunti hii ya nje unajaribu kuweka sera mpya ili kurudisha ufikiaji kwa akaunti ya awali, huwezi.
Generic KMS Ransomware
Global KMS Ransomware
Kuna njia nyingine ya kutekeleza KMS Ransomware ya kimataifa, ambayo itahusisha hatua zifuatazo:
Unda funguo mpya na vifaa vya funguo vilivyoagizwa na mshambuliaji
Re-encrypt data za zamani zilizoshikiliwa na toleo la awali na ile mpya.
Futa funguo za KMS
Sasa ni mshambuliaji tu, ambaye ana vifaa vya funguo vya awali anaweza kufungua data iliyoshikiliwa.
Destroy keys
Kumbuka kwamba AWS sasa inasitisha vitendo vya awali kufanywa kutoka akaunti tofauti:
Last updated