Amazon Macie

Reading time: 6 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Macie

Amazon Macie inajitokeza kama huduma iliyoundwa ili kutambua, kuainisha, na kubaini data ndani ya akaunti ya AWS. Inatumia machine learning ili kuendelea kufuatilia na kuchambua data, ikilenga hasa kutambua na kutoa tahadhari dhidi ya shughuli zisizo za kawaida au za kutatanisha kwa kuchunguza cloud trail event data na mifumo ya tabia za watumiaji.

Vipengele Muhimu vya Amazon Macie:

  1. Mapitio ya Data ya Kazi: Inatumia machine learning kukagua data kwa njia ya kazi mbalimbali zinapotokea ndani ya akaunti ya AWS.
  2. Utambuzi wa Anomalies: Inatambua shughuli zisizo za kawaida au mifumo ya ufikiaji, ikizalisha tahadhari ili kupunguza hatari za uwezekano wa kufichika kwa data.
  3. Ufuatiliaji Endelevu: Inafuatilia na kutambua data mpya katika Amazon S3, ikitumia machine learning na akili bandia kubadilika kulingana na mifumo ya ufikiaji wa data kwa muda.
  4. Uainishaji wa Data kwa NLP: Inatumia usindikaji wa lugha asilia (NLP) kuainisha na kutafsiri aina mbalimbali za data, ikitoa alama za hatari ili kuipa kipaumbele matokeo.
  5. Ufuatiliaji wa Usalama: Inatambua data nyeti za usalama, ikiwa ni pamoja na funguo za API, funguo za siri, na taarifa za kibinafsi, kusaidia kuzuia kufichika kwa data.

Amazon Macie ni huduma ya kikanda na inahitaji 'AWSMacieServiceCustomerSetupRole' IAM Role na AWS CloudTrail iliyoanzishwa kwa ajili ya utendaji.

Mfumo wa Tahadhari

Macie inagawanya tahadhari katika makundi yaliyoainishwa kama:

  • Ufikiaji wa Anonymized
  • Uzingatiaji wa Data
  • Kupoteza Kiwango
  • Kuinua Mamlaka
  • Ransomware
  • Ufikiaji wa Kutatanisha, nk.

Tahadhari hizi zinatoa maelezo ya kina na ufafanuzi wa matokeo kwa ajili ya majibu na ufumbuzi mzuri.

Vipengele vya Dashibodi

Dashibodi inagawanya data katika sehemu mbalimbali, ikiwa ni pamoja na:

  • Vitu vya S3 (kwa muda, ACL, PII)
  • Matukio/matumizi ya CloudTrail yenye hatari kubwa
  • Mahali pa Shughuli
  • Aina za utambulisho wa mtumiaji wa CloudTrail, na zaidi.

Uainishaji wa Watumiaji

Watumiaji wanaainishwa katika ngazi kulingana na kiwango cha hatari ya simu zao za API:

  • Platinum: Simu za API zenye hatari kubwa, mara nyingi zikiwa na mamlaka ya admin.
  • Gold: Simu za API zinazohusiana na miundombinu.
  • Silver: Simu za API zenye hatari ya kati.
  • Bronze: Simu za API zenye hatari ndogo.

Aina za Utambulisho

Aina za utambulisho zinajumuisha Root, IAM user, Assumed Role, Federated User, AWS Account, na AWS Service, zikionyesha chanzo cha maombi.

Uainishaji wa Data

Uainishaji wa data unajumuisha:

  • Aina ya Maudhui: Kulingana na aina ya maudhui iliyogunduliwa.
  • Kiambatisho cha Faili: Kulingana na kiambatisho cha faili.
  • Mada: Imeainishwa kwa maneno muhimu ndani ya faili.
  • Regex: Imeainishwa kulingana na mifumo maalum ya regex.

Hatari ya juu zaidi kati ya makundi haya inamua kiwango cha hatari cha faili.

Utafiti na Uchambuzi

Kazi ya utafiti ya Amazon Macie inaruhusu maswali maalum katika data yote ya Macie kwa uchambuzi wa kina. Filters zinajumuisha Data ya CloudTrail, mali za S3 Bucket, na Vitu vya S3. Aidha, inasaidia kuwalika akaunti nyingine kushiriki Amazon Macie, ikirahisisha usimamizi wa data wa pamoja na ufuatiliaji wa usalama.

Kuorodhesha Matokeo na AWS Console

Baada ya kuchanganua S3 bucket maalum kwa siri na data nyeti, matokeo yatatolewa na kuonyeshwa kwenye console. Watumiaji walioidhinishwa wenye ruhusa za kutosha wanaweza kuona na kuorodhesha matokeo haya kwa kila kazi.

Screenshot 2025-02-10 at 19 08 08

Kufichua Siri

Amazon Macie inatoa kipengele kinachoonyesha siri zilizogunduliwa kwa muundo wa maandiko wazi. Kazi hii inasaidia katika kubaini data iliyovunjwa. Hata hivyo, kuonyesha siri kwa muundo wa maandiko wazi kwa ujumla hakuchukuliwi kama njia bora kutokana na wasiwasi wa usalama, kwani inaweza kufichua taarifa nyeti.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

bash
# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

tip

Kutoka kwa mtazamo wa mshambuliaji, huduma hii haijaundwa kugundua mshambuliaji, bali kugundua taarifa nyeti katika faili zilizohifadhiwa. Hivyo, huduma hii inaweza kusaidia mshambuliaji kupata taarifa nyeti ndani ya ndoo.
Hata hivyo, labda mshambuliaji anaweza pia kuwa na hamu ya kuingilia kati ili kuzuia mwathirika kupata arifa na kuiba taarifa hiyo kwa urahisi.

TODO: PRs are welcome!

References

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks