AWS - KMS Post Exploitation
KMS
Для отримання додаткової інформації перегляньте:
pageAWS - KMS EnumШифрування/Дешифрування інформації
Використання симетричного ключа
Використання асиметричного ключа:
KMS Викрадення даних
Атакуючий з привілейованим доступом до KMS може змінити політику ключів KMS та надати своєму обліковому запису доступ до них, видаливши доступ, наданий легітному обліковому запису.
Після цього користувачі легітного облікового запису не зможуть отримати доступ до будь-якої інформації будь-якої служби, яка була зашифрована цими ключами, створюючи простий, але ефективний вірус-вимагач над обліковим записом.
Зверніть увагу, що управляні ключі AWS не постраждають від цього нападу, тільки Ключі, управляні клієнтом.
Також зверніть увагу на необхідність використання параметру --bypass-policy-lockout-safety-check
(відсутність цієї опції у веб-консолі робить цей напад можливим лише з CLI).
Зверніть увагу, що якщо ви зміните цю політику і надасте доступ лише зовнішньому обліковому запису, а потім з цього зовнішнього облікового запису спробуєте встановити нову політику, щоб повернути доступ до початкового облікового запису, ви не зможете цього зробити.
Загальний KMS-вірус-вимагач
Глобальний KMS-вірус-вимагач
Є ще один спосіб виконати глобальний KMS-вірус-вимагач, який включає наступні кроки:
Створіть новий ключ з матеріалом ключа, імпортованим зловмисником
Перекодуйте старі дані, зашифровані попередньою версією, новими
Видаліть ключ KMS
Тепер тільки зловмисник, який має початковий матеріал ключа, зможе розшифрувати зашифровані дані
Знищення ключів
Зверніть увагу, що AWS зараз запобігає виконанню попередніх дій з іншого облікового запису:
Last updated