AWS - KMS Persistence

Reading time: 2 minutes

KMS

자세한 정보는 다음을 확인하세요:

AWS - KMS Enum

KMS 정책을 통한 Grant 접근

공격자는 권한 kms:PutKeyPolicy 를 사용하여 자신의 제어 하에 있는 사용자나 심지어 외부 계정에 키에 대한 접근 권한을 부여할 수 있습니다. 자세한 내용은 KMS Privesc page를 확인하세요.

Eternal Grant

Grants는 특정 키에 대해 principal에게 일부 권한을 부여하는 또 다른 방법입니다. 사용자가 grants를 생성할 수 있도록 허용하는 grant를 부여할 수 있습니다. 또한, 사용자는 동일한 키에 대해 여러 개의 grant(심지어 동일한 것)를 가질 수 있습니다.

따라서 사용자가 모든 권한을 가진 grant를 10개 보유하는 것이 가능합니다. 공격자는 이를 지속적으로 모니터링해야 합니다. 만약 어떤 시점에 1개의 grant가 제거되면 다른 10개가 생성되어야 합니다.

(우리는 사용자가 아직 몇 개의 grant를 보유하고 있는 상태에서 grant가 제거된 것을 감지할 수 있도록 2가 아니라 10개를 사용합니다)

# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"

# To monitor grants
aws kms list-grants --key-id <key-id>