Amazon Macie

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Macie

Το Amazon Macie ξεχωρίζει ως μια υπηρεσία που έχει σχεδιαστεί για να ανιχνεύει, κατηγοριοποιεί και αναγνωρίζει δεδομένα αυτόματα εντός ενός λογαριασμού AWS. Εκμεταλλεύεται μηχανική μάθηση για να παρακολουθεί και να αναλύει συνεχώς τα δεδομένα, εστιάζοντας κυρίως στην ανίχνευση και την ειδοποίηση για ασυνήθιστες ή ύποπτες δραστηριότητες εξετάζοντας τα δεδομένα cloud trail event και τα πρότυπα συμπεριφοράς των χρηστών.

Βασικά Χαρακτηριστικά του Amazon Macie:

1. Ενεργή Ανασκόπηση Δεδομένων: Χρησιμοποιεί μηχανική μάθηση για να ανασκοπεί ενεργά τα δεδομένα καθώς διάφορες ενέργειες συμβαίνουν εντός του λογαριασμού AWS.
2. Ανίχνευση Ανωμαλιών: Αναγνωρίζει ανώμαλες δραστηριότητες ή πρότυπα πρόσβασης, δημιουργώντας ειδοποιήσεις για να μετριάσει τους πιθανούς κινδύνους έκθεσης δεδομένων.
3. Συνεχής Παρακολούθηση: Παρακολουθεί και ανιχνεύει αυτόματα νέα δεδομένα στο Amazon S3, χρησιμοποιώντας μηχανική μάθηση και τεχνητή νοημοσύνη για να προσαρμόζεται στα πρότυπα πρόσβασης δεδομένων με την πάροδο του χρόνου.
4. Κατηγοριοποίηση Δεδομένων με NLP: Χρησιμοποιεί επεξεργασία φυσικής γλώσσας (NLP) για να κατηγοριοποιήσει και να ερμηνεύσει διάφορους τύπους δεδομένων, αναθέτοντας βαθμούς κινδύνου για να προτεραιοποιήσει τα ευρήματα.
5. Παρακολούθηση Ασφαλείας: Αναγνωρίζει ευαίσθητα δεδομένα ασφαλείας, συμπεριλαμβανομένων των κλειδιών API, των μυστικών κλειδιών και των προσωπικών πληροφοριών, βοηθώντας στην πρόληψη διαρροών δεδομένων.

Το Amazon Macie είναι μια περιφερειακή υπηρεσία και απαιτεί τον ρόλο IAM ‘AWSMacieServiceCustomerSetupRole’ και έναν ενεργοποιημένο AWS CloudTrail για τη λειτουργικότητά του.

Σύστημα Ειδοποιήσεων

Το Macie κατηγοριοποιεί τις ειδοποιήσεις σε προκαθορισμένες κατηγορίες όπως:

• Ανωνυμοποιημένη πρόσβαση
• Συμμόρφωση δεδομένων
• Απώλεια διαπιστευτηρίων
• Κλιμάκωση προνομίων
• Ransomware
• Ύποπτη πρόσβαση, κ.λπ.

Αυτές οι ειδοποιήσεις παρέχουν λεπτομερείς περιγραφές και αναλύσεις αποτελεσμάτων για αποτελεσματική αντίδραση και επίλυση.

Χαρακτηριστικά Πίνακα Ελέγχου

Ο πίνακας ελέγχου κατηγοριοποιεί τα δεδομένα σε διάφορες ενότητες, συμπεριλαμβανομένων:

• Αντικείμενα S3 (κατά χρονικό διάστημα, ACL, PII)
• Υψηλού κινδύνου γεγονότα/χρήστες CloudTrail
• Τοποθεσίες δραστηριότητας
• Τύποι ταυτότητας χρηστών CloudTrail, και άλλα.

Κατηγοριοποίηση Χρηστών

Οι χρήστες κατηγοριοποιούνται σε επίπεδα με βάση το επίπεδο κινδύνου των κλήσεων API τους:

• Platinum: Υψηλού κινδύνου κλήσεις API, συχνά με προνόμια διαχειριστή.
• Gold: Κλήσεις API σχετικές με υποδομές.
• Silver: Κλήσεις API μέσου κινδύνου.
• Bronze: Κλήσεις API χαμηλού κινδύνου.

Τύποι Ταυτότητας

Οι τύποι ταυτότητας περιλαμβάνουν Root, IAM user, Assumed Role, Federated User, AWS Account και AWS Service, υποδεικνύοντας την πηγή των αιτημάτων.

Κατηγοριοποίηση Δεδομένων

Η κατηγοριοποίηση δεδομένων περιλαμβάνει:

• Content-Type: Βασισμένο στον ανιχνευθέντα τύπο περιεχομένου.
• File Extension: Βασισμένο στην επέκταση αρχείου.
• Theme: Κατηγοριοποιημένο με βάση λέξεις-κλειδιά εντός των αρχείων.
• Regex: Κατηγοριοποιημένο με βάση συγκεκριμένα πρότυπα regex.

Ο υψηλότερος κίνδυνος μεταξύ αυτών των κατηγοριών καθορίζει το τελικό επίπεδο κινδύνου του αρχείου.

Έρευνα και Ανάλυση

Η λειτουργία έρευνας του Amazon Macie επιτρέπει προσαρμοσμένα ερωτήματα σε όλα τα δεδομένα Macie για σε βάθος ανάλυση. Οι φίλτροι περιλαμβάνουν δεδομένα CloudTrail, ιδιότητες S3 Bucket και αντικείμενα S3. Επιπλέον, υποστηρίζει την πρόσκληση άλλων λογαριασμών για να μοιραστούν το Amazon Macie, διευκολύνοντας τη συνεργατική διαχείριση δεδομένων και την παρακολούθηση ασφάλειας.

Καταγραφή Ευρημάτων με AWS Console

Μετά την σάρωση ενός συγκεκριμένου S3 bucket για μυστικά και ευαίσθητα δεδομένα, θα παραχθούν ευρήματα και θα εμφανιστούν στην κονσόλα. Οι εξουσιοδοτημένοι χρήστες με επαρκή δικαιώματα μπορούν να δουν και να καταγράψουν αυτά τα ευρήματα για κάθε εργασία.

Αποκάλυψη Μυστικού

Το Amazon Macie παρέχει μια δυνατότητα που εμφανίζει τα ανιχνευθέντα μυστικά σε μορφή καθαρού κειμένου. Αυτή η λειτουργικότητα βοηθά στην αναγνώριση των συμβιβασμένων δεδομένων. Ωστόσο, η εμφάνιση μυστικών σε καθαρό κείμενο γενικά δεν θεωρείται καλύτερη πρακτική λόγω ανησυχιών ασφαλείας, καθώς θα μπορούσε ενδεχομένως να εκθέσει ευαίσθητες πληροφορίες.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

Tip

Από την οπτική γωνία ενός επιτιθέμενου, αυτή η υπηρεσία δεν έχει σχεδιαστεί για να ανιχνεύει τον επιτιθέμενο, αλλά για να ανιχνεύει ευαίσθητες πληροφορίες στα αποθηκευμένα αρχεία. Επομένως, αυτή η υπηρεσία μπορεί να βοηθήσει έναν επιτιθέμενο να βρει ευαίσθητες πληροφορίες μέσα στους κάδους.
Ωστόσο, ίσως ένας επιτιθέμενος να ενδιαφέρεται επίσης να την διαταράξει προκειμένου να αποτρέψει το θύμα από το να λάβει ειδοποιήσεις και να κλέψει αυτές τις πληροφορίες πιο εύκολα.

TODO: PRs are welcome!

References

• https://cloudacademy.com/blog/introducing-aws-security-hub/

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.