AWS - DLM Post Exploitation
Last updated
Last updated
学习和实践 AWS 黑客技术: 学习和实践 GCP 黑客技术:
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy勒索软件攻击可以通过加密尽可能多的 EBS 卷,然后删除当前的 EC2 实例、EBS 卷和快照来执行。为了自动化这一恶意活动,可以使用 Amazon DLM,使用来自另一个 AWS 账户的 KMS 密钥加密快照,并将加密的快照转移到不同的账户。或者,他们可能将未加密的快照转移到他们管理的账户,然后在那里加密它们。虽然直接加密现有的 EBS 卷或快照并不简单,但可以通过创建新的卷或快照来实现。
首先,可以使用命令收集卷的信息,例如实例 ID、卷 ID、加密状态、附加状态和卷类型。
aws ec2 describe-volumes
其次,将创建生命周期策略。此命令使用 DLM API 设置一个生命周期策略,该策略会在指定时间自动对指定卷进行每日快照。它还会将特定标签应用于快照,并将卷的标签复制到快照中。policyDetails.json 文件包含生命周期策略的具体信息,例如目标标签、计划、用于加密的可选 KMS 密钥的 ARN,以及用于快照共享的目标账户,这些信息将记录在受害者的 CloudTrail 日志中。
可以在这里看到政策文档的模板:
学习与实践 AWS 黑客技术: 学习与实践 GCP 黑客技术:
查看 !
加入 💬 或 或 关注 我们的 Twitter 🐦 .
通过向 和 GitHub 仓库提交 PR 分享黑客技巧。
