Amazon Macie

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Macie

Amazon Macie val uit as ’n diens wat ontwerp is om outomaties data te ontdek, te klassifiseer en te identifiseer binne ’n AWS-rekening. Dit benut masjienleer om data deurlopend te monitor en te analiseer, met die primĂȘre fokus op die opsporing en waarskuwing teen ongewone of verdagte aktiwiteite deur cloud trail event data en gebruikersgedragspatrone te ondersoek.

Belangrike Kenmerke van Amazon Macie:

  1. Aktiewe Data-oorsig: Gebruik masjienleer om data aktief te hersien soos verskeie aksies binne die AWS-rekening plaasvind.
  2. Anomalie-opsporing: Identifiseer onreĂ«lmatige aktiwiteite of toegangspatrone, wat waarskuwings genereer om potensiĂ«le data blootstellingsrisiko’s te verminder.
  3. Deurlopende Monitering: Monitor en ontdek outomaties nuwe data in Amazon S3, wat masjienleer en kunsmatige intelligensie gebruik om aan te pas by data toegangspatrone oor tyd.
  4. Data Klassifikasie met NLP: Gebruik natuurlike taalverwerking (NLP) om verskillende datatipes te klassifiseer en te interpreteer, en risiko punte toe te ken om bevindings te prioritiseer.
  5. Sekuriteitsmonitering: Identifiseer sekuriteitsgevoelige data, insluitend API-sleutels, geheime sleutels, en persoonlike inligting, wat help om data lekke te voorkom.

Amazon Macie is ’n streekdiens en vereis die ‘AWSMacieServiceCustomerSetupRole’ IAM Rol en ’n geaktiveerde AWS CloudTrail vir funksionaliteit.

Waarskuwingstelsel

Macie kategoriseer waarskuwings in vooraf gedefinieerde kategorieë soos:

  • Anonimiseerde toegang
  • Data nakoming
  • KredensiĂ«le verlies
  • Privilege-eskalasie
  • Ransomware
  • Verdachte toegang, ens.

Hierdie waarskuwings bied gedetailleerde beskrywings en resultaatopbrekings vir effektiewe reaksie en oplossing.

Dashboard Kenmerke

Die dashboard kategoriseer data in verskeie afdelings, insluitend:

  • S3 Objekte (volgens tydsbereik, ACL, PII)
  • HoĂ« risiko CloudTrail gebeurtenisse/gebruikers
  • Aktiwiteit Lokasies
  • CloudTrail gebruikersidentiteitstipes, en meer.

Gebruiker Kategorisering

Gebruikers word geklassifiseer in vlakke gebaseer op die risiko vlak van hul API-oproepe:

  • Platinum: HoĂ« risiko API-oproepe, dikwels met admin voorregte.
  • Gold: Infrastruktuur-verwante API-oproepe.
  • Silver: Medium risiko API-oproepe.
  • Bronze: Lae risiko API-oproepe.

Identiteitstipes

Identiteitstipes sluit Root, IAM gebruiker, Aangenome Rol, Gefedereerde Gebruiker, AWS Rekening, en AWS Diens in, wat die bron van versoeke aandui.

Data Klassifikasie

Data klassifikasie sluit in:

  • Inhouds tipe: Gebaseer op die gedetecteerde inhoud tipe.
  • LĂȘeruitbreiding: Gebaseer op lĂȘeruitbreiding.
  • Tema: Gekategoriseer volgens sleutelwoorde binne lĂȘers.
  • Regex: Gekategoriseer gebaseer op spesifieke regex patrone.

Die hoogste risiko onder hierdie kategorieĂ« bepaal die lĂȘer se finale risikoniveau.

Amazon Macie’s navorsingsfunksie laat toe vir pasgemaakte navrae oor alle Macie data vir diepgaande analise. Filters sluit CloudTrail Data, S3 Emmer eienskappe, en S3 Objekte in. Boonop ondersteun dit die uitnodiging van ander rekeninge om Amazon Macie te deel, wat samewerkende data bestuur en sekuriteitsmonitering fasiliteer.

Lys van Bevindinge met AWS Console

Na die skandering van ’n spesifieke S3-emmer vir geheime en sensitiewe data, sal bevindinge gegenereer en in die konsole vertoon word. Geautoriseerde gebruikers met voldoende toestemmings kan hierdie bevindinge vir elke taak sien en lys.

Screenshot 2025-02-10 at 19 08 08

Onthulling van Geheim

Amazon Macie bied ’n funksie wat gedetecteerde geheime in duidelike teksformaat vertoon. Hierdie funksionaliteit help in die identifikasie van die gecompromitteerde data. Dit is egter nie algemeen beskou as ’n beste praktyk om geheime in duidelike teks te vertoon nie weens sekuriteitskwessies, aangesien dit potensieel sensitiewe inligting kan blootstel.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumerasie

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

Tip

Vanuit ’n aanvaller se perspektief is hierdie diens nie gemaak om die aanvaller te detecteer nie, maar om sensitiewe inligting in die gestoor lĂȘers te detecteer. Daarom kan hierdie diens ’n aanvaller help om sensitiewe inligting binne die emmers te vind.
Dit is egter moontlik dat ’n aanvaller ook geïnteresseerd kan wees om dit te ontwrig om te voorkom dat die slagoffer waarskuwings ontvang en daardie inligting makliker te steel.

TODO: PRs is welkom!

References

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks