Amazon Macie

Reading time: 6 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

Macie

Amazon Macie एक सेवा है जो स्वचालित रूप से डेटा का पता लगाने, वर्गीकृत करने और पहचानने के लिए डिज़ाइन की गई है जो एक AWS खाते के भीतर है। यह मशीन लर्निंग का उपयोग करके डेटा की निरंतर निगरानी और विश्लेषण करता है, मुख्य रूप से क्लाउड ट्रेल इवेंट डेटा और उपयोगकर्ता व्यवहार पैटर्न की जांच करके असामान्य या संदिग्ध गतिविधियों का पता लगाने और अलर्ट करने पर ध्यान केंद्रित करता है।

Amazon Macie की प्रमुख विशेषताएँ:

  1. सक्रिय डेटा समीक्षा: AWS खाते के भीतर विभिन्न क्रियाओं के दौरान डेटा की सक्रिय समीक्षा के लिए मशीन लर्निंग का उपयोग करता है।
  2. असामान्यता पहचान: असामान्य गतिविधियों या पहुंच पैटर्न की पहचान करता है, संभावित डेटा एक्सपोज़र जोखिमों को कम करने के लिए अलर्ट उत्पन्न करता है।
  3. निरंतर निगरानी: Amazon S3 में नए डेटा की स्वचालित निगरानी और पहचान करता है, समय के साथ डेटा पहुंच पैटर्न के अनुकूलन के लिए मशीन लर्निंग और आर्टिफिशियल इंटेलिजेंस का उपयोग करता है।
  4. NLP के साथ डेटा वर्गीकरण: विभिन्न डेटा प्रकारों को वर्गीकृत और व्याख्या करने के लिए प्राकृतिक भाषा प्रसंस्करण (NLP) का उपयोग करता है, खोजों को प्राथमिकता देने के लिए जोखिम स्कोर असाइन करता है।
  5. सुरक्षा निगरानी: सुरक्षा-संवेदनशील डेटा की पहचान करता है, जिसमें API कुंजी, गुप्त कुंजी, और व्यक्तिगत जानकारी शामिल है, डेटा लीक को रोकने में मदद करता है।

Amazon Macie एक क्षेत्रीय सेवा है और कार्यक्षमता के लिए 'AWSMacieServiceCustomerSetupRole' IAM Role और सक्षम AWS CloudTrail की आवश्यकता होती है।

अलर्ट सिस्टम

Macie अलर्ट को पूर्वनिर्धारित श्रेणियों में वर्गीकृत करता है जैसे:

  • अनामिक पहुंच
  • डेटा अनुपालन
  • क्रेडेंशियल हानि
  • विशेषाधिकार वृद्धि
  • रैंसमवेयर
  • संदिग्ध पहुंच, आदि।

ये अलर्ट प्रभावी प्रतिक्रिया और समाधान के लिए विस्तृत विवरण और परिणाम विभाजन प्रदान करते हैं।

डैशबोर्ड विशेषताएँ

डैशबोर्ड डेटा को विभिन्न अनुभागों में वर्गीकृत करता है, जिसमें शामिल हैं:

  • S3 ऑब्जेक्ट (समय सीमा, ACL, PII के अनुसार)
  • उच्च-जोखिम क्लाउडट्रेल इवेंट/उपयोगकर्ता
  • गतिविधि स्थान
  • क्लाउडट्रेल उपयोगकर्ता पहचान प्रकार, और अधिक।

उपयोगकर्ता वर्गीकरण

उपयोगकर्ताओं को उनके API कॉल के जोखिम स्तर के आधार पर स्तरों में वर्गीकृत किया जाता है:

  • प्लैटिनम: उच्च-जोखिम API कॉल, अक्सर प्रशासनिक विशेषाधिकार के साथ।
  • गोल्ड: अवसंरचना से संबंधित API कॉल।
  • सिल्वर: मध्यम-जोखिम API कॉल।
  • ब्रॉन्ज: निम्न-जोखिम API कॉल।

पहचान प्रकार

पहचान प्रकारों में रूट, IAM उपयोगकर्ता, अनुमोदित भूमिका, संघीय उपयोगकर्ता, AWS खाता, और AWS सेवा शामिल हैं, जो अनुरोधों के स्रोत को इंगित करते हैं।

डेटा वर्गीकरण

डेटा वर्गीकरण में शामिल हैं:

  • सामग्री-प्रकार: पहचान की गई सामग्री प्रकार के आधार पर।
  • फ़ाइल एक्सटेंशन: फ़ाइल एक्सटेंशन के आधार पर।
  • विषय: फ़ाइलों के भीतर कीवर्ड के अनुसार वर्गीकृत।
  • Regex: विशिष्ट regex पैटर्न के आधार पर वर्गीकृत।

इन श्रेणियों में से सबसे उच्च जोखिम फ़ाइल के अंतिम जोखिम स्तर को निर्धारित करता है।

अनुसंधान और विश्लेषण

Amazon Macie का अनुसंधान कार्य सभी Macie डेटा के लिए कस्टम क्वेरी की अनुमति देता है ताकि गहन विश्लेषण किया जा सके। फ़िल्टर में क्लाउडट्रेल डेटा, S3 बकेट गुण, और S3 ऑब्जेक्ट शामिल हैं। इसके अलावा, यह अन्य खातों को Amazon Macie साझा करने के लिए आमंत्रित करने का समर्थन करता है, जिससे सहयोगात्मक डेटा प्रबंधन और सुरक्षा निगरानी को सुविधाजनक बनाया जा सके।

AWS कंसोल के साथ निष्कर्षों की सूची

एक विशिष्ट S3 बकेट को रहस्यों और संवेदनशील डेटा के लिए स्कैन करने के बाद, निष्कर्ष उत्पन्न होंगे और कंसोल में प्रदर्शित होंगे। अधिकृत उपयोगकर्ता जिनके पास पर्याप्त अनुमतियाँ हैं, वे प्रत्येक कार्य के लिए इन निष्कर्षों को देख और सूचीबद्ध कर सकते हैं।

Screenshot 2025-02-10 at 19 08 08

रहस्य प्रकट करना

Amazon Macie एक सुविधा प्रदान करता है जो पहचान की गई रहस्यों को स्पष्ट-टेक्स्ट प्रारूप में प्रदर्शित करता है। यह कार्यक्षमता समझौता किए गए डेटा की पहचान में मदद करती है। हालाँकि, स्पष्ट-टेक्स्ट में रहस्यों को प्रदर्शित करना सामान्यतः सुरक्षा चिंताओं के कारण सर्वोत्तम प्रथा नहीं माना जाता है, क्योंकि यह संवेदनशील जानकारी को उजागर कर सकता है।

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

bash
# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

tip

हमलावर के दृष्टिकोण से, यह सेवा हमलावर का पता लगाने के लिए नहीं बनाई गई है, बल्कि संग्रहीत फ़ाइलों में संवेदनशील जानकारी का पता लगाने के लिए बनाई गई है। इसलिए, यह सेवा हमलावर को बकेट के अंदर संवेदनशील जानकारी खोजने में मदद कर सकती है
हालाँकि, शायद एक हमलावर इसे बाधित करने में भी रुचि रख सकता है ताकि पीड़ित को अलर्ट प्राप्त करने से रोका जा सके और उस जानकारी को चुराना आसान हो सके।

TODO: PRs are welcome!

References

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें