Amazon Macie

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Macie

Amazon Macie se distingue comme un service conçu pour dĂ©tecter, classer et identifier automatiquement les donnĂ©es au sein d’un compte AWS. Il utilise l’apprentissage automatique pour surveiller et analyser en continu les donnĂ©es, se concentrant principalement sur la dĂ©tection et l’alerte contre des activitĂ©s inhabituelles ou suspectes en examinant les donnĂ©es des Ă©vĂ©nements de cloud trail et les modĂšles de comportement des utilisateurs.

CaractĂ©ristiques clĂ©s d’Amazon Macie :

  1. Revue active des donnĂ©es : Utilise l’apprentissage automatique pour examiner activement les donnĂ©es Ă  mesure que diverses actions se produisent au sein du compte AWS.
  2. DĂ©tection d’anomalies : Identifie les activitĂ©s ou les modĂšles d’accĂšs irrĂ©guliers, gĂ©nĂ©rant des alertes pour attĂ©nuer les risques potentiels d’exposition des donnĂ©es.
  3. Surveillance continue : Surveille et dĂ©tecte automatiquement de nouvelles donnĂ©es dans Amazon S3, utilisant l’apprentissage automatique et l’intelligence artificielle pour s’adapter aux modĂšles d’accĂšs aux donnĂ©es au fil du temps.
  4. Classification des données avec le NLP : Utilise le traitement du langage naturel (NLP) pour classer et interpréter différents types de données, attribuant des scores de risque pour prioriser les résultats.
  5. Surveillance de la sécurité : Identifie les données sensibles sur le plan de la sécurité, y compris les clés API, les clés secrÚtes et les informations personnelles, aidant à prévenir les fuites de données.

Amazon Macie est un service rĂ©gional et nĂ©cessite le rĂŽle IAM ‘AWSMacieServiceCustomerSetupRole’ et un AWS CloudTrail activĂ© pour fonctionner.

Systùme d’alerte

Macie catégorise les alertes en catégories prédéfinies telles que :

  • AccĂšs anonymisĂ©
  • ConformitĂ© des donnĂ©es
  • Perte de crĂ©dentiels
  • Escalade de privilĂšges
  • Ransomware
  • AccĂšs suspect, etc.

Ces alertes fournissent des descriptions détaillées et des analyses des résultats pour une réponse et une résolution efficaces.

Fonctionnalités du tableau de bord

Le tableau de bord catégorise les données en différentes sections, y compris :

  • Objets S3 (par plage de temps, ACL, PII)
  • ÉvĂ©nements/utilisateurs CloudTrail Ă  haut risque
  • Lieux d’activitĂ©
  • Types d’identitĂ© des utilisateurs CloudTrail, et plus encore.

Catégorisation des utilisateurs

Les utilisateurs sont classés en niveaux en fonction du niveau de risque de leurs appels API :

  • Platine : Appels API Ă  haut risque, souvent avec des privilĂšges d’administrateur.
  • Or : Appels API liĂ©s Ă  l’infrastructure.
  • Argent : Appels API Ă  risque moyen.
  • Bronze : Appels API Ă  faible risque.

Types d’identitĂ©

Les types d’identitĂ© incluent Root, utilisateur IAM, rĂŽle assumĂ©, utilisateur fĂ©dĂ©rĂ©, compte AWS et service AWS, indiquant la source des demandes.

Classification des données

La classification des données englobe :

  • Type de contenu : BasĂ© sur le type de contenu dĂ©tectĂ©.
  • Extension de fichier : BasĂ© sur l’extension de fichier.
  • ThĂšme : CatĂ©gorisĂ© par des mots-clĂ©s dans les fichiers.
  • Regex : CatĂ©gorisĂ© en fonction de motifs regex spĂ©cifiques.

Le risque le plus élevé parmi ces catégories détermine le niveau de risque final du fichier.

Recherche et analyse

La fonction de recherche d’Amazon Macie permet des requĂȘtes personnalisĂ©es sur toutes les donnĂ©es Macie pour une analyse approfondie. Les filtres incluent les donnĂ©es CloudTrail, les propriĂ©tĂ©s des buckets S3 et les objets S3. De plus, elle prend en charge l’invitation d’autres comptes Ă  partager Amazon Macie, facilitant la gestion collaborative des donnĂ©es et la surveillance de la sĂ©curitĂ©.

Listing Findings with AWS Console

AprÚs avoir scanné un bucket S3 spécifique à la recherche de secrets et de données sensibles, des résultats seront générés et affichés dans la console. Les utilisateurs autorisés avec des permissions suffisantes peuvent voir et lister ces résultats pour chaque tùche.

Screenshot 2025-02-10 at 19 08 08

Revealing Secret

Amazon Macie fournit une fonctionnalitĂ© qui affiche les secrets dĂ©tectĂ©s en format texte clair. Cette fonctionnalitĂ© aide Ă  l’identification des donnĂ©es compromises. Cependant, afficher des secrets en texte clair n’est gĂ©nĂ©ralement pas considĂ©rĂ© comme une bonne pratique en raison des prĂ©occupations de sĂ©curitĂ©, car cela pourrait potentiellement exposer des informations sensibles.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

Tip

Du point de vue d’un attaquant, ce service n’est pas conçu pour dĂ©tecter l’attaquant, mais pour dĂ©tecter des informations sensibles dans les fichiers stockĂ©s. Par consĂ©quent, ce service pourrait aider un attaquant Ă  trouver des infos sensibles Ă  l’intĂ©rieur des buckets.
Cependant, un attaquant pourrait Ă©galement ĂȘtre intĂ©ressĂ© Ă  le perturber afin d’empĂȘcher la victime de recevoir des alertes et de voler ces infos plus facilement.

TODO: PRs are welcome!

References

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks