AWS - S3 Post Exploitation

htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @hacktricks_live'i takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

S3

Daha fazla bilgi için kontrol edin:

pageAWS - S3, Athena & Glacier Enum

Hassas Bilgiler

Bazen, okunabilir bir şekilde kovalarda hassas bilgiler bulabilirsiniz. Örneğin, terraform durum sırları.

Pivoting

Farklı platformlar, hassas varlıkları depolamak için S3'ü kullanabilir. Örneğin, airflow, DAG'lerin kodunu orada saklayabilir veya web sayfaları doğrudan S3'ten sunulabilir. Yazma izinlerine sahip bir saldırgan, kovadaki kodu başka platformlara geçmek veya JS dosyalarını değiştirerek hesapları ele geçirmek için kullanabilir.

S3 Fidye Yazılımı

Bu senaryoda, saldırgan kendi AWS hesabında veya başka bir ele geçirilmiş hesapta bir KMS (Anahtar Yönetimi Hizmeti) anahtarı oluşturur. Ardından, bu anahtarı dünyadaki herhangi bir AWS kullanıcısına, role veya hesaba erişilebilir hale getirir ve bu anahtar kullanılarak nesneler şifrelenir. Ancak, nesneler çözülemez.

Saldırgan, çeşitli yöntemlerle hedef S3 kovasına yazma düzeyinde erişim elde eder. Bunun nedeni, kova yapılandırmasının kötü olması ve halka açık olması veya saldırganın AWS ortamına erişim sağlaması olabilir. Saldırgan genellikle kişisel tanımlama bilgileri (PII), korunan sağlık bilgileri (PHI), günlükler, yedeklemeler ve daha fazlası gibi hassas bilgiler içeren kovaları hedef alır.

Kovanın fidye yazılımı için hedef alınıp alınamayacağını belirlemek için saldırgan, yapılandırmasını kontrol eder. Bu, S3 Nesne Sürümleme'nin etkinleştirilip etkinleştirilmediğini ve çok faktörlü kimlik doğrulama silme (MFA silme) özelliğinin etkinleştirilip etkinleştirilmediğini doğrulamayı içerir. Nesne Sürümleme etkinleştirilmemişse, saldırgan devam edebilir. Nesne Sürümleme etkinleştirilmişse ancak MFA silme devre dışı bırakılmışsa, saldırgan Nesne Sürümlemeyi devre dışı bırakabilir. Nesne Sürümleme ve MFA silme ikisi de etkinleştirilmişse, saldırganın belirli bir kovayı fidye yazılımına karşı zorlaşır.

AWS API'sini kullanarak, saldırgan her bir nesneyi kovada kendi KMS anahtarını kullanarak şifrelenmiş bir kopya ile değiştirir. Bu, kovadaki verileri şifreler ve anahtar olmadan erişilemez hale getirir.

Daha fazla baskı yapmak için saldırgan, saldırıda kullanılan KMS anahtarının silinmesini planlar. Bu, hedefin verilerini kurtarmak için 7 günlük bir pencere sağlar, ardından anahtar silinir ve veriler kalıcı olarak kaybolur.

Son olarak, saldırgan genellikle "ransom-note.txt" adında bir son dosya yükleyebilir. Bu dosya, hedefin dosyalarını nasıl alacağı konusunda talimatlar içerir. Bu dosya şifrelenmeden yüklenir, muhtemelen hedefin dikkatini çekmek ve fidye yazılımı saldırısından haberdar etmek için.

Daha fazla bilgi için orijinal araştırmayı kontrol edin.

htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamını görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARINI kontrol edin!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'i keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @hacktricks_live'i takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

PreviousAWS - RDS Post Exploitation NextAWS - Secrets Manager Post Exploitation

Last updated 2 months ago