AWS - S3 Post Exploitation

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

S3

Za više informacija pogledajte:

AWS - S3, Athena & Glacier Enum

Osetljive informacije

Ponekad ćete moći da pronađete osetljive informacije koje su čitljive u bucket-ovima. Na primer, terraform state secrets.

Pivoting

Različite platforme mogu koristiti S3 za čuvanje osetljivih resursa.
Na primer, airflow može tamo čuvati DAGs kod, ili se web pages mogu direktno služiti iz S3. Napadač sa write permissions može modify the code from the bucket to pivot to other platforms, or takeover accounts modifying JS files.

S3 Ransomware

In this scenario, the attacker creates a KMS (Key Management Service) key in their own AWS account or another compromised account. They then make this key accessible to anyone in the world, allowing any AWS user, role, or account to encrypt objects using this key. However, the objects cannot be decrypted.

Napadač identifikuje ciljani S3 bucket and gains write-level access to it using various methods. Ovo može biti posledica loše konfiguracije bucket-a koja ga izlaže javnosti ili zato što napadač dobije pristup samom AWS okruženju. Napadač obično cilja bucket-e koji sadrže osetljive informacije kao što su personally identifiable information (PII), protected health information (PHI), logovi, backup-i i slično.

Da bi utvrdio da li bucket može biti meta ransomware napada, napadač proverava njegovu konfiguraciju. To uključuje proveru da li je S3 Object Versioning enabled i da li je multi-factor authentication delete (MFA delete) enabled. Ako Object Versioning nije enabled, napadač može nastaviti. Ako je Object Versioning enabled ali je MFA delete disabled, napadač može disable Object Versioning. Ako su i Object Versioning i MFA delete enabled, postaje teže za napadača da izvrši ransomware na tom bucket-u.

Korišćenjem AWS API-ja, napadač replaces each object in the bucket with an encrypted copy using their KMS key. Ovo efikasno enkriptuje podatke u bucket-u, čineći ih nedostupnim bez tog key-a.

Da bi dodatno izvršio pritisak, napadač zakaže brisanje KMS key-a koji je korišćen u napadu. To daje meti 7-dnevni rok da povrati podatke pre nego što se key obriše i podaci postanu trajno izgubljeni.

Na kraju, napadač može otpremiti konačni fajl, obično nazvan “ransom-note.txt”, koji sadrži instrukcije za metu kako da povrati svoje fajlove. Ovaj fajl se otprema bez enkripcije, verovatno da bi privukao pažnju mete i obavestio ih o ransomware napadu.

s3:RestoreObject

Napadač sa dozvolom s3:RestoreObject može reaktivirati objekte arhivirane u Glacier ili Deep Archive, čineći ih privremeno dostupnim. Ovo omogućava oporavak i exfiltraciju istorijski arhiviranih podataka (backup-i, snapshots, logovi, sertifikati, stari tajni podaci) koji bi inače bili nedostupni. Ako napadač kombinuje ovu dozvolu sa dozvolama za čitanje (npr. s3:GetObject), može dobiti potpune kopije osetljivih podataka.

aws s3api restore-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY> \
--restore-request '{
"Days": <NUMBER_OF_DAYS>,
"GlacierJobParameters": { "Tier": "Standard" }
}'

s3:Delete*

Napadač sa dozvolom s3:Delete* može izbrisati objects, versions i čitave buckets, poremetiti backups i prouzrokovati trenutni i nepovratni data loss, uništavanje dokaza i kompromitovanje backup ili recovery artifacts.

# Delete an object from a bucket
aws s3api delete-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY>

# Delete a specific version
aws s3api delete-object \
--bucket <BUCKET_NAME> \
--key <OBJECT_KEY> \
--version-id <VERSION_ID>

# Delete a bucket
aws s3api delete-bucket \
--bucket <BUCKET_NAME>

Za više informacija pogledajte originalno istraživanje.

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks