AWS - S3 ポストエクスプロイテーション

Reading time: 6 minutes

S3

詳細については、以下を確認してください：

AWS - S3, Athena & Glacier Enum

機密情報

時には、バケット内で読み取れる機密情報を見つけることができます。例えば、terraformの状態秘密。

ピボッティング

異なるプラットフォームがS3を使用して機密資産を保存している可能性があります。
例えば、airflowがDAGsのコードをそこに保存しているか、ウェブページがS3から直接提供されているかもしれません。書き込み権限を持つ攻撃者は、バケットのコードを変更して他のプラットフォームにピボットしたり、JSファイルを変更してアカウントを乗っ取ることができます。

S3 ランサムウェア

このシナリオでは、攻撃者が自分のAWSアカウントまたは別の侵害されたアカウントにKMS（キー管理サービス）キーを作成します。次に、このキーを世界中の誰でもアクセスできるようにします。これにより、任意のAWSユーザー、ロール、またはアカウントがこのキーを使用してオブジェクトを暗号化できるようになります。ただし、オブジェクトは復号化できません。

攻撃者はターゲットのS3バケットを特定し、さまざまな方法で書き込みレベルのアクセスを取得します。これは、公開されている不適切なバケット構成や、攻撃者がAWS環境自体にアクセスを得ることによるものです。攻撃者は通常、個人を特定できる情報（PII）、保護された健康情報（PHI）、ログ、バックアップなどの機密情報を含むバケットをターゲットにします。

バケットがランサムウェアのターゲットになり得るかどうかを判断するために、攻撃者はその構成を確認します。これには、S3オブジェクトバージョニングが有効になっているか、多要素認証削除（MFA削除）が有効になっているかを確認することが含まれます。オブジェクトバージョニングが有効でない場合、攻撃者は進むことができます。オブジェクトバージョニングが有効だがMFA削除が無効な場合、攻撃者はオブジェクトバージョニングを無効にすることができます。オブジェクトバージョニングとMFA削除の両方が有効な場合、攻撃者がその特定のバケットをランサムウェアにするのはより困難になります。

AWS APIを使用して、攻撃者はバケット内の各オブジェクトを自分のKMSキーを使用して暗号化されたコピーに置き換えます。これにより、バケット内のデータが暗号化され、キーなしではアクセスできなくなります。

さらなる圧力を加えるために、攻撃者は攻撃に使用されたKMSキーの削除をスケジュールします。これにより、ターゲットはキーが削除される前にデータを回復するための7日間のウィンドウを持つことになります。

最後に、攻撃者は通常「ransom-note.txt」と名付けられた最終ファイルをアップロードし、ターゲットがファイルを取得する方法に関する指示を含めます。このファイルは暗号化されずにアップロードされ、ターゲットの注意を引き、ランサムウェア攻撃を認識させるためのものです。

詳細については 元の研究を確認してください。