Amazon Macie

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Macie

Amazon Macie wyróżnia się jako usługa zaprojektowana do automatycznego wykrywania, klasyfikowania i identyfikowania danych w ramach konta AWS. Wykorzystuje uczenie maszynowe do ciągłego monitorowania i analizowania danych, koncentrując się głównie na wykrywaniu i ostrzeganiu przed nietypowymi lub podejrzanymi działaniami poprzez badanie danych cloud trail event oraz wzorców zachowań użytkowników.

Kluczowe funkcje Amazon Macie:

  1. Aktywna recenzja danych: Wykorzystuje uczenie maszynowe do aktywnej recenzji danych w miarę występowania różnych działań w ramach konta AWS.
  2. Wykrywanie anomalii: Identyfikuje nieregularne działania lub wzorce dostępu, generując alerty w celu złagodzenia potencjalnych ryzyk związanych z ujawnieniem danych.
  3. Ciągłe monitorowanie: Automatycznie monitoruje i wykrywa nowe dane w Amazon S3, wykorzystując uczenie maszynowe i sztuczną inteligencję do dostosowywania się do wzorców dostępu do danych w czasie.
  4. Klasyfikacja danych z NLP: Wykorzystuje przetwarzanie języka naturalnego (NLP) do klasyfikacji i interpretacji różnych typów danych, przypisując wyniki ryzyka w celu priorytetyzacji ustaleń.
  5. Monitorowanie bezpieczeństwa: Identyfikuje dane wrażliwe na bezpieczeństwo, w tym klucze API, klucze tajne i informacje osobiste, pomagając zapobiegać wyciekom danych.

Amazon Macie jest usługą regionalną i wymaga roli IAM ‘AWSMacieServiceCustomerSetupRole’ oraz włączonego AWS CloudTrail do działania.

System powiadomień

Macie klasyfikuje alerty w predefiniowane kategorie, takie jak:

  • Anonimizowany dostęp
  • Zgodność z danymi
  • Utrata poświadczeń
  • Eskalacja uprawnień
  • Ransomware
  • Podejrzany dostęp, itd.

Te alerty dostarczają szczegółowych opisów i analiz wyników dla skutecznej reakcji i rozwiązania problemów.

Funkcje pulpitu nawigacyjnego

Pulpit nawigacyjny klasyfikuje dane w różnych sekcjach, w tym:

  • Obiekty S3 (według zakresu czasowego, ACL, PII)
  • Wydarzenia/użytkownicy CloudTrail o wysokim ryzyku
  • Lokalizacje aktywności
  • Typy tożsamości użytkowników CloudTrail i inne.

Klasyfikacja użytkowników

Użytkownicy są klasyfikowani w poziomach na podstawie poziomu ryzyka ich wywołań API:

  • Platinum: Wywołania API o wysokim ryzyku, często z uprawnieniami administratora.
  • Gold: Wywołania API związane z infrastrukturą.
  • Silver: Wywołania API o średnim ryzyku.
  • Bronze: Wywołania API o niskim ryzyku.

Typy tożsamości

Typy tożsamości obejmują Root, IAM user, Assumed Role, Federated User, AWS Account i AWS Service, wskazując źródło żądań.

Klasyfikacja danych

Klasyfikacja danych obejmuje:

  • Content-Type: Na podstawie wykrytego typu treści.
  • Rozszerzenie pliku: Na podstawie rozszerzenia pliku.
  • Temat: Klasyfikowane według słów kluczowych w plikach.
  • Regex: Klasyfikowane na podstawie określonych wzorców regex.

Najwyższe ryzyko wśród tych kategorii określa ostateczny poziom ryzyka pliku.

Badania i analiza

Funkcja badawcza Amazon Macie pozwala na niestandardowe zapytania w całych danych Macie w celu przeprowadzenia szczegółowej analizy. Filtry obejmują dane CloudTrail, właściwości koszyków S3 i obiekty S3. Ponadto wspiera zapraszanie innych kont do współdzielenia Amazon Macie, ułatwiając współpracę w zarządzaniu danymi i monitorowaniu bezpieczeństwa.

Wyświetlanie wyników w konsoli AWS

Po przeskanowaniu konkretnego koszyka S3 w poszukiwaniu sekretów i wrażliwych danych, wyniki zostaną wygenerowane i wyświetlone w konsoli. Uprawnieni użytkownicy z odpowiednimi uprawnieniami mogą przeglądać i wyświetlać te wyniki dla każdego zadania.

Screenshot 2025-02-10 at 19 08 08

Odkrywanie sekretów

Amazon Macie oferuje funkcję, która wyświetla wykryte sekrety w formacie tekstu jawnego. Ta funkcjonalność pomaga w identyfikacji skompromitowanych danych. Jednak wyświetlanie sekretów w formacie tekstu jawnego nie jest ogólnie uważane za najlepszą praktykę z powodu obaw o bezpieczeństwo, ponieważ może potencjalnie ujawnić wrażliwe informacje.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeracja

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

Tip

Z perspektywy atakującego, ta usługa nie jest stworzona do wykrywania atakującego, ale do wykrywania wrażliwych informacji w przechowywanych plikach. Dlatego ta usługa może pomóc atakującemu w znalezieniu wrażliwych informacji w bucketach.
Jednak być może atakujący mógłby również być zainteresowany zakłóceniem jej działania, aby uniemożliwić ofierze otrzymywanie powiadomień i łatwiejsze kradzież tych informacji.

TODO: PRs are welcome!

References

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks