AWS - S3 Post Exploitation

Jifunze uchimbaji wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za uchimbaji kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

S3

Kwa habari zaidi angalia:

Taarifa Nyeti

Maranyingi utaweza kupata taarifa nyeti zinazoweza kusomwa kwenye vikombe. Kwa mfano, siri za hali ya hewa za terraform.

Kubadilisha Mwelekeo

Jukwaa tofauti linaweza kutumia S3 kuhifadhi mali nyeti. Kwa mfano, airflow inaweza kuhifadhi mimba mimba kwenye hapo, au kurasa za wavuti zinaweza kutumikia moja kwa moja kutoka S3. Mvamizi mwenye ruhusa ya kuandika anaweza kubadilisha kanuni kutoka kwa kikombe ili kugeuza kwenye majukwaa mengine, au kuchukua akaunti kwa kubadilisha faili za JS.

Ransomware ya S3

Katika hali hii, mvamizi anaunda ufunguo wa KMS (Key Management Service) kwenye akaunti yao ya AWS au akaunti nyingine iliyovamiwa. Kisha wanafanya huu ufikiaji wa ufunguo kwa mtu yeyote ulimwenguni, kuruhusu mtumiaji yeyote wa AWS, jukumu, au akaunti kuchipua vitu kwa kutumia ufunguo huu. Walakini, vitu hivyo haviwezi kufunguliwa.

Mvamizi anatambua kikombe cha S3 cha lengo na kupata ufikiaji wa kiwango cha kuandika kwake kwa kutumia njia mbalimbali. Hii inaweza kuwa kutokana na usanidi duni wa kikombe ambao unauweka wazi au mvamizi kupata ufikiaji kwenye mazingira ya AWS yenyewe. Mvamizi kawaida ananuia vikombe vinavyoleta taarifa nyeti kama vile taarifa inayoweza kutambulika kibinafsi (PII), taarifa iliyolindwa ya afya (PHI), magogo, nakala rudufu, na zaidi.

Ili kubaini ikiwa kikombe kinaweza kulengwa kwa ransomware, mvamizi anachunguza usanidi wake. Hii ni pamoja na kuhakiki ikiwa Utoaji wa Vitu vya S3 umewezeshwa na ikiwa ufutaji wa uthibitishaji wa hatua nyingi (MFA delete) umewezeshwa. Ikiwa Utoaji wa Vitu haujawaanzishwa, mvamizi anaweza kuendelea. Ikiwa Utoaji wa Vitu umewezeshwa lakini ufutaji wa MFA umefungwa, mvamizi anaweza kulemaza Utoaji wa Vitu. Ikiwa Utoaji wa Vitu na ufutaji wa MFA wameanzishwa, inakuwa ngumu zaidi kwa mvamizi kufanya ransomware kwenye kikombe hicho maalum.

Kwa kutumia API ya AWS, mvamizi anachukua nafasi ya kila kitu kwenye kikombe na nakala iliyofungwa kwa kutumia ufunguo wao wa KMS. Hii kimsingi inafanya data kwenye kikombe iwe imefungwa, ikifanya iwe haiwezi kufikiwa bila ufunguo.

Kuongeza shinikizo zaidi, mvamizi anapanga kufuta ufunguo wa KMS uliotumiwa katika shambulio. Hii inampa lengo dirisha la siku 7 kurejesha data yao kabla ya ufunguo kufutwa na data kuwa imepotea kabisa.

Hatimaye, mvamizi anaweza kupakia faili ya mwisho, kawaida iitwayo "ransom-note.txt," ambayo ina maagizo kwa lengo juu ya jinsi ya kupata faili zao. Faili hii hupakiwa bila kufungwa, labda ili kuvutia tahadhari ya lengo na kuwafanya waweze kufahamu shambulio la ransomware.

Kwa habari zaidi angalia utafiti wa awali.

Jifunze uchimbaji wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs za kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za uchimbaji kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 1 month ago