AWS - S3 Post Eksploitasie

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

S3

Vir meer inligting kyk:

AWS - S3, Athena & Glacier Enum

Sensitiewe Inligting

Soms sal jy sensitiewe inligting vind wat leesbaar is in die buckets. Byvoorbeeld, terraform state secrets.

Pivoting

Different platforms could be using S3 to store sensitive assets.
Byvoorbeeld, airflow kan DAGs code daar stoor, of webbladsye kan direk vanaf S3 gedien word. ’n Aanvaller met skryfpermissies kan die code in die bucket wysig om na ander platforms te pivot, of takeover accounts deur JS-lêers te wysig.

S3 Ransomware

In hierdie scenario skep die aanvaller ’n KMS (Key Management Service) key in hul eie AWS account of in ’n ander gekompromitteerde account. Hulle maak vervolgens hierdie key toeganglik vir enigiemand in die wêreld, wat enige AWS user, role, of account toelaat om objects met hierdie key te enkripteer. Die objects kan egter nie gedekripsieer word nie.

Die aanvaller identifiseer ’n teiken S3 bucket and gains write-level access daartoe deur verskeie metodes. Dit kan te wyte wees aan swak bucket-konfigurasie wat dit publiek blootstel of daaraan dat die aanvaller toegang tot die AWS environment self kry. Die aanvaller mik gewoonlik na buckets wat sensitiewe inligting bevat soos personally identifiable information (PII), protected health information (PHI), logs, backups, en meer.

Om te bepaal of die bucket vir ransomware geteiken kan word, kontroleer die aanvaller die konfigurasie. Dit sluit in om te verifieer of S3 Object Versioning geaktiveer is en of multi-factor authentication delete (MFA delete) is enabled. As Object Versioning nie geaktiveer is nie, kan die aanvaller voortgaan. As Object Versioning geaktiveer is maar MFA delete disabled is, kan die aanvaller disable Object Versioning. As beide Object Versioning en MFA delete geaktiveer is, word dit moeiliker vir die aanvaller om daardie spesifieke bucket te ransomware.

Deur die AWS API te gebruik, vervang die aanvaller elke object in die bucket met ’n encrypted copy using their KMS key. Dit enkripteer effens die data in die bucket en maak dit ontoeganklik sonder die key.

Om verdere druk te plaas, skeduleer die aanvaller die verwydering van die KMS key wat in die aanval gebruik is. Dit gee die teiken ’n 7-dae venster om hul data te herstel voordat die key verwyder word en die data permanent verlore gaan.

Laastens kan die aanvaller ’n finale lêer oplaai, gewoonlik met die naam “ransom-note.txt,” wat instruksies vir die teiken bevat oor hoe om hul files te herstel. Hierdie lêer word without encryption opgelaai, waarskynlik om die teiken se aandag te trek en hulle bewus te maak van die ransomware-aanval.

s3:RestoreObject

’n Aanvaller met die s3:RestoreObject permission kan voorwerpe wat in Glacier of Deep Archive gearchiveer is heraktiveer, wat hulle tydelik toeganklik maak. Dit maak recovery en exfiltration van histories gearchiveerde data (backups, snapshots, logs, certifications, old secrets) moontlik wat normaalweg buite bereik sou wees. As die aanvaller hierdie permission kombineer met leespermissies (bv., s3:GetObject), kan hulle volle kopieë van sensitiewe data verkry.

aws s3api restore-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY> \
--restore-request '{
"Days": <NUMBER_OF_DAYS>,
"GlacierJobParameters": { "Tier": "Standard" }
}'

s3:Delete*

’n Aanvaller met die s3:Delete* regte kan objects, versions en hele buckets uitvee, rugsteune ontwrig, en onmiddellike en onomkeerbare dataverlies, vernietiging van bewyse, en kompromittering van rugsteun- of herstelartefakte veroorsaak.

# Delete an object from a bucket
aws s3api delete-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY>

# Delete a specific version
aws s3api delete-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY> \
--version-id <VERSION_ID>

# Delete a bucket
aws s3api delete-bucket \
--bucket <BUCKET_NAME>

Vir meer inligting bekyk die oorspronklike navorsing.

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks