Amazon Macie

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Macie

Amazon Macie, bir AWS hesabındaki verileri otomatik olarak tespit etmek, sınıflandırmak ve tanımlamak için tasarlanmış bir hizmet olarak öne çıkmaktadır. Makine öğrenimi kullanarak verileri sürekli izler ve analiz eder, esasen cloud trail event verilerini ve kullanıcı davranış kalıplarını inceleyerek olağandışı veya şüpheli etkinlikleri tespit etmeye ve bildirmeye odaklanır.

Amazon Macie’nin Ana Özellikleri:

  1. Aktif Veri İncelemesi: AWS hesabında çeşitli eylemler gerçekleşirken verileri aktif olarak incelemek için makine öğrenimi kullanır.
  2. Anomali Tespiti: Düzensiz etkinlikleri veya erişim kalıplarını tanımlar, potansiyel veri sızıntısı risklerini azaltmak için uyarılar oluşturur.
  3. Sürekli İzleme: Amazon S3’te yeni verileri otomatik olarak izler ve tespit eder, zamanla veri erişim kalıplarına uyum sağlamak için makine öğrenimi ve yapay zeka kullanır.
  4. NLP ile Veri Sınıflandırması: Farklı veri türlerini sınıflandırmak ve yorumlamak için doğal dil işleme (NLP) kullanır, bulguları önceliklendirmek için risk puanları atar.
  5. Güvenlik İzleme: API anahtarları, gizli anahtarlar ve kişisel bilgiler gibi güvenlik açısından hassas verileri tanımlar, veri sızıntılarını önlemeye yardımcı olur.

Amazon Macie, bölgesel bir hizmettir ve işlevsellik için ‘AWSMacieServiceCustomerSetupRole’ IAM Rolü ve etkin bir AWS CloudTrail gerektirir.

Uyarı Sistemi

Macie, uyarıları önceden tanımlanmış kategorilere ayırır:

  • Anonim erişim
  • Veri uyumluluğu
  • Kimlik bilgisi kaybı
  • Yetki yükseltme
  • Fidye yazılımı
  • Şüpheli erişim, vb.

Bu uyarılar, etkili yanıt ve çözüm için ayrıntılı açıklamalar ve sonuç analizleri sağlar.

Gösterge Paneli Özellikleri

Gösterge paneli verileri çeşitli bölümlere ayırır, bunlar arasında:

  • S3 Nesneleri (zaman aralığı, ACL, PII)
  • Yüksek riskli CloudTrail olayları/kullanıcıları
  • Etkinlik Konumları
  • CloudTrail kullanıcı kimlik türleri ve daha fazlası.

Kullanıcı Sınıflandırması

Kullanıcılar, API çağrılarının risk seviyesine göre katmanlara ayrılır:

  • Platin: Yüksek riskli API çağrıları, genellikle yönetici ayrıcalıkları ile.
  • Altın: Altyapı ile ilgili API çağrıları.
  • Gümüş: Orta riskli API çağrıları.
  • Bronz: Düşük riskli API çağrıları.

Kimlik Türleri

Kimlik türleri, isteklerin kaynağını belirten Root, IAM kullanıcı, Varsayılan Rol, Federated User, AWS Hesabı ve AWS Servisi’ni içerir.

Veri Sınıflandırması

Veri sınıflandırması şunları kapsar:

  • İçerik Türü: Tespit edilen içerik türuna göre.
  • Dosya Uzantısı: Dosya uzantısına göre.
  • Tema: Dosyalar içindeki anahtar kelimelere göre kategorize edilir.
  • Regex: Belirli regex desenlerine göre kategorize edilir.

Bu kategoriler arasındaki en yüksek risk, dosyanın nihai risk seviyesini belirler.

Araştırma ve Analiz

Amazon Macie’nin araştırma işlevi, derinlemesine analiz için tüm Macie verileri üzerinde özel sorgular yapmayı sağlar. Filtreler arasında CloudTrail Verisi, S3 Bucket özellikleri ve S3 Nesneleri bulunur. Ayrıca, diğer hesapları Amazon Macie’yi paylaşmaya davet etme desteği sunarak işbirlikçi veri yönetimi ve güvenlik izleme sağlar.

AWS Konsolu ile Bulguları Listeleme

Belirli bir S3 bucket’ında gizli ve hassas veriler için tarama yapıldıktan sonra, bulgular oluşturulacak ve konsolda görüntülenecektir. Yeterli izinlere sahip yetkili kullanıcılar, her iş için bu bulguları görüntüleyebilir ve listeleyebilir.

Screenshot 2025-02-10 at 19 08 08

Gizli Bilgiyi Açığa Çıkarma

Amazon Macie, tespit edilen gizli bilgileri açık metin formatında görüntüleyen bir özellik sunar. Bu işlev, tehlikeye atılmış verilerin tanımlanmasına yardımcı olur. Ancak, gizli bilgilerin açık metin olarak görüntülenmesi genellikle güvenlik endişeleri nedeniyle en iyi uygulama olarak kabul edilmez, çünkü bu hassas bilgilerin ifşa olmasına neden olabilir.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

Tip

Bir saldırganın perspektifinden, bu hizmet saldırganı tespit etmek için değil, depolanan dosyalardaki hassas bilgileri tespit etmek için yapılmıştır. Bu nedenle, bu hizmet bir saldırgana, kovalar içindeki hassas bilgileri bulmasında yardımcı olabilir.
Ancak, belki de bir saldırgan, kurbanın uyarılar almasını engellemek ve o bilgiyi daha kolay çalmak için bunu bozmakla da ilgilenebilir.

TODO: PR’lar hoş karşılanır!

References

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin