Amazon Macie

Reading time: 5 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Macie

Amazon Macie se izdvaja kao usluga dizajnirana da automatski otkriva, klasifikuje i identifikuje podatke unutar AWS naloga. Koristi mašinsko učenje za kontinuirano praćenje i analizu podataka, fokusirajući se prvenstveno na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti ispitivanjem cloud trail event podataka i obrazaca ponašanja korisnika.

Ključne karakteristike Amazon Macie:

  1. Aktivna revizija podataka: Koristi mašinsko učenje za aktivno pregledanje podataka dok se različite radnje dešavaju unutar AWS naloga.
  2. Otkrivanje anomalija: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja kako bi umanjila potencijalne rizike od izlaganja podataka.
  3. Kontinuirano praćenje: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju kako bi se prilagodio obrascima pristupa podacima tokom vremena.
  4. Klasifikacija podataka uz NLP: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i interpretaciju različitih tipova podataka, dodeljujući rizik ocene kako bi prioritizovao nalaze.
  5. Praćenje bezbednosti: Identifikuje podatke o bezbednosti, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.

Amazon Macie je regionalna usluga i zahteva 'AWSMacieServiceCustomerSetupRole' IAM Role i omogućeni AWS CloudTrail za funkcionalnost.

Sistem upozorenja

Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:

  • Anonimizovani pristup
  • Usklađenost podataka
  • Gubitak akreditiva
  • Eskalacija privilegija
  • Ransomware
  • Sumnjiv pristup, itd.

Ova upozorenja pružaju detaljne opise i razlaganje rezultata za efikasan odgovor i rešavanje.

Karakteristike kontrolne table

Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:

  • S3 objekti (po vremenskom opsegu, ACL, PII)
  • Visoko rizični CloudTrail događaji/korisnici
  • Lokacije aktivnosti
  • Tipovi identiteta CloudTrail korisnika, i još mnogo toga.

Kategorizacija korisnika

Korisnici su klasifikovani u nivoe na osnovu nivoa rizika njihovih API poziva:

  • Platinum: Visoko rizični API pozivi, često sa administratorskim privilegijama.
  • Gold: API pozivi vezani za infrastrukturu.
  • Silver: Srednje rizični API pozivi.
  • Bronze: Nisko rizični API pozivi.

Tipovi identiteta

Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federisanog korisnika, AWS nalog i AWS uslugu, ukazujući na izvor zahteva.

Klasifikacija podataka

Klasifikacija podataka obuhvata:

  • Content-Type: Na osnovu otkrivenog tipa sadržaja.
  • Ekstenzija fajla: Na osnovu ekstenzije fajla.
  • Tema: Kategorizovana prema ključnim rečima unutar fajlova.
  • Regex: Kategorizovana na osnovu specifičnih regex obrazaca.

Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.

Istraživanje i analiza

Istraživačka funkcija Amazon Macie omogućava prilagođene upite preko svih Macie podataka za dubinsku analizu. Filteri uključuju CloudTrail podatke, S3 Bucket svojstva i S3 objekte. Pored toga, podržava pozivanje drugih naloga da dele Amazon Macie, olakšavajući kolaborativno upravljanje podacima i praćenje bezbednosti.

Listing Findings with AWS Console

Nakon skeniranja specifičnog S3 bucket-a za tajne i osetljive podatke, nalazi će biti generisani i prikazani u konzoli. Ovlašćeni korisnici sa dovoljnim dozvolama mogu pregledati i listati ove nalaze za svaki posao.

Screenshot 2025-02-10 at 19 08 08

Revealing Secret

Amazon Macie pruža funkciju koja prikazuje otkrivene tajne u formatu običnog teksta. Ova funkcionalnost pomaže u identifikaciji kompromitovanih podataka. Međutim, prikazivanje tajni u običnom tekstu se generalno ne smatra najboljom praksom zbog bezbednosnih briga, jer bi moglo potencijalno izložiti osetljive informacije.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

bash
# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

tip

Iz perspektive napadača, ova usluga nije napravljena da detektuje napadača, već da detektuje osetljive informacije u sačuvanim datotekama. Stoga, ova usluga može pomoći napadaču da pronađe osetljive informacije unutar kanti.
Međutim, možda bi napadač takođe mogao biti zainteresovan da je ometa kako bi sprečio žrtvu da dobije upozorenja i lakše ukrade te informacije.

TODO: PRs are welcome!

References

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks