AWS - CloudWatch Enum

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

CloudWatch

CloudWatch, izleme ve operasyonel verileri loglar/metricler/olaylar şeklinde toplayarak AWS kaynaklarının, uygulamalarının ve hizmetlerinin birleşik bir görünümünü sağlar.
CloudWatch Log Olaylarının her log satırı için 256KB boyut sınırlaması vardır.
Yüksek çözünürlüklü alarmlar ayarlayabilir, logları ve metricleri yan yana görselleştirebilir, otomatik eylemler alabilir, sorunları giderebilir ve uygulamaları optimize etmek için içgörüler keşfedebilirsiniz.

Örneğin CloudTrail’den logları izleyebilirsiniz. İzlenen olaylar:

  • Güvenlik Grupları ve NACL’lerdeki değişiklikler
  • EC2 örneklerini başlatma, durdurma, yeniden başlatma ve sonlandırma
  • IAM ve S3 içindeki Güvenlik Politikalarındaki değişiklikler
  • AWS Yönetim Konsolu’na yapılan başarısız girişim denemeleri
  • Başarısız yetkilendirme ile sonuçlanan API çağrıları
  • CloudWatch’ta arama yapmak için filtreler: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Anahtar kavramlar

Ad Alanları

Bir ad alanı, CloudWatch metricleri için bir konteynırdır. Metricleri kategorize etmeye ve izole etmeye yardımcı olur, böylece bunları yönetmek ve analiz etmek daha kolay hale gelir.

  • Örnekler: EC2 ile ilgili metricler için AWS/EC2, RDS metricleri için AWS/RDS.

Metricler

Metricler, zaman içinde toplanan ve AWS kaynaklarının performansını veya kullanımını temsil eden veri noktalarıdır. Metricler, AWS hizmetlerinden, özel uygulamalardan veya üçüncü taraf entegrasyonlardan toplanabilir.

  • Örnek: CPUUtilization, NetworkIn, DiskReadOps.

Boyutlar

Boyutlar, metriclerin bir parçası olan anahtar-değer çiftleridir. Bir metrici benzersiz bir şekilde tanımlamaya yardımcı olur ve ek bağlam sağlar; bir metric ile ilişkilendirilebilecek en fazla boyut sayısı 30’dur. Boyutlar ayrıca belirli özelliklere dayalı olarak metricleri filtrelemeye ve birleştirmeye olanak tanır.

  • Örnek: EC2 örnekleri için boyutlar InstanceId, InstanceType ve AvailabilityZone’u içerebilir.

İstatistikler

İstatistikler, metric verileri üzerinde zaman içinde özetlemek için yapılan matematiksel hesaplamalardır. Yaygın istatistikler arasında Ortalama, Toplam, Minimum, Maksimum ve Örnek Sayısı bulunur.

  • Örnek: Bir saatlik bir süre boyunca ortalama CPU kullanımını hesaplamak.

Birimler

Birimler, bir metric ile ilişkili ölçüm türüdür. Birimler, metric verilerine bağlam ve anlam sağlamaya yardımcı olur. Yaygın birimler arasında Yüzde, Bayt, Saniye, Sayım bulunur.

  • Örnek: CPUUtilization Yüzde olarak ölçülürken, NetworkIn Bayt olarak ölçülebilir.

CloudWatch Özellikleri

Gösterge Paneli

CloudWatch Gösterge Panelleri, AWS CloudWatch metriclerinizin özelleştirilebilir görünümlerini sağlar. Farklı AWS hizmetlerinden çeşitli metricleri bir araya getirerek verileri görselleştirmek ve kaynakları tek bir görünümde izlemek için paneller oluşturup yapılandırmak mümkündür.

Anahtar Özellikler:

  • Widget’lar: Grafikler, metinler, alarmlar ve daha fazlasını içeren panellerin yapı taşları.
  • Özelleştirme: Düzen ve içerik, belirli izleme ihtiyaçlarına göre özelleştirilebilir.

Örnek Kullanım Durumu:

  • EC2 örnekleri, RDS veritabanları ve S3 bucket’ları dahil olmak üzere tüm AWS ortamınız için ana metricleri gösteren tek bir gösterge paneli.

Metric Akışı ve Metric Verisi

AWS CloudWatch’taki Metric Akışları, CloudWatch metriclerini seçtiğiniz bir hedefe sürekli olarak akıtmanıza olanak tanır. Bu, AWS dışındaki araçlar kullanarak gelişmiş izleme, analiz ve özel paneller için özellikle yararlıdır.

Metric Verisi, Metric Akışları içindeki gerçek ölçümler veya veri noktalarını ifade eder. Bu veri noktaları, AWS kaynakları için CPU kullanımı, bellek kullanımı vb. gibi çeşitli metricleri temsil eder.

Örnek Kullanım Durumu:

  • Gelişmiş analiz için üçüncü taraf bir izleme hizmetine gerçek zamanlı metricler göndermek.
  • Uzun vadeli depolama ve uyumluluk için bir Amazon S3 bucket’ında metricleri arşivlemek.

Alarm

CloudWatch Alarmları, metriclerinizi izler ve önceden tanımlanmış eşiklere dayalı olarak eylemler gerçekleştirir. Bir metric bir eşiği aştığında, alarm bir veya daha fazla eylem gerçekleştirebilir, örneğin SNS aracılığıyla bildirim göndermek, otomatik ölçeklendirme politikasını tetiklemek veya bir AWS Lambda işlevi çalıştırmak.

Ana Bileşenler:

  • Eşik: Alarmın tetiklendiği değer.
  • Değerlendirme Dönemleri: Verilerin değerlendirildiği dönem sayısı.
  • Alarm için Veri Noktaları: Alarmı tetiklemek için gereken ulaşılmış eşik sayısı.
  • Eylemler: Bir alarm durumu tetiklendiğinde ne olacağı (örneğin, SNS aracılığıyla bildirim gönderme).

Örnek Kullanım Durumu:

  • EC2 örneği CPU kullanımını izlemek ve 5 ardışık dakika boyunca %80’i aşarsa SNS aracılığıyla bir bildirim göndermek.

Anomali Tespit Cihazları

Anomali Tespit Cihazları, metriclerinizde otomatik olarak anormallikleri tespit etmek için makine öğrenimini kullanır. Anomali tespiti, sorunları gösterebilecek normal desenlerden sapmaları tanımlamak için herhangi bir CloudWatch metricine uygulanabilir.

Ana Bileşenler:

  • Model Eğitimi: CloudWatch, normal davranışın neye benzediğini belirlemek için geçmiş verileri kullanarak bir model eğitir.
  • Anomali Tespit Bandı: Bir metric için beklenen değer aralığını görsel olarak temsil eder.

Örnek Kullanım Durumu:

  • Bir EC2 örneğinde güvenlik ihlali veya uygulama sorunu gösterebilecek olağandışı CPU kullanım desenlerini tespit etmek.

İçgörü Kuralları ve Yönetilen İçgörü Kuralları

İçgörü Kuralları, metric verilerinizdeki eğilimleri tanımlamak, zirveleri tespit etmek veya ilgi çekici diğer desenleri belirlemek için güçlü matematiksel ifadeler kullanarak eylemlerin alınması gereken koşulları tanımlamanıza olanak tanır. Bu kurallar, kaynak performansınızda ve kullanımınızda anormallikleri veya olağandışı davranışları tanımlamanıza yardımcı olabilir.

Yönetilen İçgörü Kuralları, AWS tarafından sağlanan önceden yapılandırılmış içgörü kurallarıdır. Belirli AWS hizmetlerini veya yaygın kullanım durumlarını izlemek için tasarlanmıştır ve ayrıntılı yapılandırma gerektirmeden etkinleştirilebilir.

Örnek Kullanım Durumu:

  • RDS Performansını İzleme: CPU kullanımı, bellek kullanımı ve disk I/O gibi anahtar performans göstergelerini izleyen Amazon RDS için yönetilen bir içgörü kuralını etkinleştirin. Bu metriclerden herhangi biri güvenli operasyonel eşikleri aşarsa, kural bir uyarı veya otomatik hafifletme eylemi tetikleyebilir.

CloudWatch Logları

Uygulamalardan ve sistemlerden logları toplayıp izlemeye olanak tanır AWS hizmetleri (CloudTrail dahil) ve uygulamalardan/sistemlerden (CloudWatch Agent bir hosta kurulabilir). Loglar sınırsız süreyle saklanabilir (Log Grubu ayarlarına bağlı olarak) ve dışa aktarılabilir.

Öğeler:

TerimTanım
Log GrubuAynı saklama, izleme ve erişim kontrol ayarlarını paylaşan log akışlarının bir koleksiyonu
Log AkışıAynı kaynağı paylaşan log olaylarının bir dizisi
Abone FiltreleriBelirli bir log grubundaki olayları eşleştiren bir filtre deseni tanımlar, bunları Kinesis Data Firehose akışına, Kinesis akışına veya bir Lambda işlevine gönderir

CloudWatch İzleme & Olaylar

CloudWatch temel verileri her 5 dakikada toplar (detaylı olanı her 1 dakikada yapar). Toplamadan sonra, bir alarmı tetiklemek için eşikleri kontrol eder.
Bu durumda, CloudWatch bir olayı göndermeye ve bazı otomatik eylemleri gerçekleştirmeye hazır olabilir (AWS lambda işlevleri, SNS konuları, SQS kuyrukları, Kinesis Akışları)

Agent Kurulumu

Logları otomatik olarak CloudWatch’a geri göndermek için makinelerinizde/konteynerlerinizde ajanlar kurabilirsiniz.

  • Bir rol oluşturun ve örneği CloudWatch’un örneklerden veri toplamasına izin veren izinlerle bağlayın ve AWS sistem yöneticisi SSM ile etkileşimde bulunun (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
  • Ajanı EC2 örneğine indirin ve kurun (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Bunu EC2 içinden indirebilir veya AWS Sistem Yöneticisi kullanarak otomatik olarak AWS-ConfigureAWSPackage paketini seçerek kurabilirsiniz.
  • CloudWatch Agent’ı yapılandırın ve başlatın.

Bir log grubu birçok akışa sahiptir. Bir akış birçok olaya sahiptir. Ve her akışın içinde, olayların sıralı olması garanti edilir.

Enumeration

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

Bu izinlere sahip bir saldırgan, bir organizasyonun izleme ve uyarı altyapısını önemli ölçüde zayıflatabilir. Mevcut alarmları silerek, bir saldırgan kritik performans sorunları, güvenlik ihlalleri veya operasyonel arızalar hakkında yöneticileri bilgilendiren önemli uyarıları devre dışı bırakabilir. Ayrıca, metrik alarmlar oluşturarak veya değiştirerek, saldırgan yöneticileri yanlış uyarılarla yanıltabilir veya meşru alarmları susturarak, kötü niyetli faaliyetleri gizleyebilir ve gerçek olaylara zamanında yanıt verilmesini engelleyebilir.

Ayrıca, cloudwatch:PutCompositeAlarm iznine sahip bir saldırgan, bileşik alarm A’nın bileşik alarm B’ye, bileşik alarm B’nin de bileşik alarm A’ya bağlı olduğu bir döngü veya döngü oluşturma yeteneğine sahip olacaktır. Bu senaryoda, döngünün bir parçası olan herhangi bir bileşik alarmı silmek mümkün değildir çünkü silmek istediğiniz alarmla bağlı olan her zaman başka bir bileşik alarm vardır.

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

Aşağıdaki örnek, bir metrik alarmını etkisiz hale getirmenin nasıl yapılacağını göstermektedir:

  • Bu metrik alarmı, belirli bir EC2 örneğinin ortalama CPU kullanımını izler, metriği her 300 saniyede bir değerlendirir ve 6 değerlendirme dönemi gerektirir (toplam 30 dakika). Eğer ortalama CPU kullanımı bu dönemlerin en az 4’ünde %60’ı aşarsa, alarm tetiklenecek ve belirtilen SNS konusuna bir bildirim gönderecektir.
  • Eşiği %99’dan fazla olacak şekilde değiştirerek, Periyodu 10 saniye, Değerlendirme Dönemlerini 8640 (çünkü 8640 dönem 10 saniye, 1 güne eşittir) ve Alarm için Veri Noktalarını da 8640 olarak ayarlayarak, CPU kullanımının 24 saat boyunca her 10 saniyede bir %99’un üzerinde olması gerekecektir.
{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": ["arn:aws:sns:us-east-1:123456789012:example_sns"],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

Potansiyel Etki: Kritik olaylar için bildirim eksikliği, potansiyel olarak tespit edilemeyen sorunlar, yanlış alarmlar, gerçek alarmları bastırma ve gerçek olayların tespit edilmesinin potansiyel olarak kaçırılması.

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions , cloudwatch:SetAlarmState

Alarm eylemlerini silerek, saldırgan kritik alarmların ve otomatik yanıtların tetiklenmesini engelleyebilir; bu, bir alarm durumu ulaşıldığında yöneticileri bilgilendirmek veya otomatik ölçeklendirme faaliyetlerini başlatmak gibi durumları içerir. Alarm eylemlerini uygunsuz bir şekilde etkinleştirmek veya yeniden etkinleştirmek, daha önce devre dışı bırakılmış eylemleri yeniden etkinleştirerek veya hangi eylemlerin tetiklendiğini değiştirerek beklenmedik davranışlara yol açabilir; bu da olay yanıtında kafa karışıklığı ve yanlış yönlendirmeye neden olabilir.

Ayrıca, bu izne sahip bir saldırgan alarm durumlarını manipüle edebilir, yöneticileri oyalamak ve kafa karıştırmak için sahte alarmlar oluşturabilir veya devam eden kötü niyetli faaliyetleri veya kritik sistem arızalarını gizlemek için gerçek alarmları susturabilir.

  • Eğer bir bileşik alarmda SetAlarmState kullanırsanız, bileşik alarmın gerçek durumuna geri dönmesi garanti edilmez. Gerçek durumuna yalnızca çocuk alarmlarından herhangi biri durum değiştirirse geri döner. Ayrıca, yapılandırmasını güncellediğinizde yeniden değerlendirilir.
aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

Potansiyel Etki: Kritik olaylar için bildirim eksikliği, potansiyel olarak tespit edilemeyen sorunlar, yanlış alarmlar, gerçek alarmları bastırma ve gerçek olayların tespit edilmesinin potansiyel olarak kaçırılması.

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

Bir saldırgan, metrik verilerdeki olağandışı desenleri veya anormallikleri tespit etme ve bunlara yanıt verme yeteneğini tehlikeye atabilir. Mevcut anomali dedektörlerini silerek, bir saldırgan kritik uyarı mekanizmalarını devre dışı bırakabilir; ve bunları oluşturarak veya değiştirerek, izlemeyi dikkatini dağıtmak veya aşırı yüklemek amacıyla yanlış yapılandırabilir veya yanlış pozitifler oluşturabilir.

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

Aşağıdaki örnek, bir metrik anomali dedektörünü etkisiz hale getirmenin nasıl yapılacağını göstermektedir. Bu metrik anomali dedektörü, belirli bir EC2 örneğinin ortalama CPU kullanımını izler ve yalnızca istenen zaman aralığı ile “ExcludedTimeRanges” parametresini eklemek, anomali dedektörünün o süre zarfında herhangi bir ilgili veriyi analiz etmemesini veya uyarı vermemesini sağlamak için yeterlidir.

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

Olası Etki: Sıradışı desenlerin veya güvenlik tehditlerinin tespitinde doğrudan etki.

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

Bir saldırgan, panoları oluşturarak, değiştirerek veya silerek bir organizasyonun izleme ve görselleştirme yeteneklerini tehlikeye atabilir. Bu izinler, sistemlerin performansı ve sağlığı hakkında kritik görünürlüğü kaldırmak, panoları yanlış veriler gösterecek şekilde değiştirmek veya kötü niyetli faaliyetleri gizlemek için kullanılabilir.

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

Potansiyel Etki: İzleme görünürlüğünün kaybı ve yanıltıcı bilgiler.

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

Insight kuralları, anormallikleri tespit etmek, performansı optimize etmek ve kaynakları etkili bir şekilde yönetmek için kullanılır. Mevcut insight kurallarını silerek, bir saldırgan kritik izleme yeteneklerini ortadan kaldırabilir ve sistemi performans sorunları ve güvenlik tehditlerine karşı kör bırakabilir. Ayrıca, bir saldırgan yanıltıcı veriler oluşturmak veya kötü niyetli faaliyetleri gizlemek için insight kurallarını oluşturabilir veya değiştirebilir, bu da yanlış teşhisler ve operasyon ekibinden uygunsuz tepkilere yol açabilir.

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

Potansiyel Etki: Performans sorunlarını ve anormallikleri tespit etme ve bunlara yanıt verme zorluğu, yanlış bilgilendirilmiş karar verme ve potansiyel olarak kötü niyetli faaliyetleri veya sistem arızalarını gizleme.

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

Kritik içgörü kurallarını devre dışı bırakarak, bir saldırgan organizasyonu ana performans ve güvenlik metriklerine karşı etkili bir şekilde kör edebilir. Tersine, yanıltıcı kuralları etkinleştirerek veya yapılandırarak, yanlış veriler oluşturmak, gürültü yaratmak veya kötü niyetli faaliyetleri gizlemek mümkün olabilir.

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

Potansiyel Etki: Operasyon ekibi arasında kafa karışıklığına yol açarak, gerçek sorunlara gecikmeli yanıtlar ve yanlış uyarılara dayalı gereksiz eylemlere neden olabilir.

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream izinlerine sahip bir saldırgan, metrik veri akışlarını oluşturup silerek güvenliği, izlemeyi ve veri bütünlüğünü tehlikeye atabilir:

  • Kötü niyetli akışlar oluşturma: Hassas verileri yetkisiz hedeflere göndermek için metrik akışları oluşturma.
  • Kaynak manipülasyonu: Aşırı veri ile yeni metrik akışlarının oluşturulması, çok fazla gürültü üretebilir ve yanlış uyarılara neden olarak gerçek sorunları gizleyebilir.
  • İzleme kesintisi: Metrik akışlarını silerek, saldırganlar izleme verilerinin sürekli akışını kesintiye uğratır. Bu şekilde, kötü niyetli faaliyetleri etkili bir şekilde gizlenmiş olur.

Benzer şekilde, cloudwatch:PutMetricData izni ile bir metrik akışına veri eklemek mümkün olacaktır. Bu, eklenen uygunsuz veri miktarı nedeniyle bir DoS’a yol açabilir ve akışı tamamen işe yaramaz hale getirebilir.

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

Verilen bir EC2 örneği üzerinde %70 CPU kullanımına karşılık gelen verilerin eklenmesi örneği:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

Potansiyel Etki: İzleme verilerinin akışında kesinti, anormalliklerin ve olayların tespitini etkileyerek, kaynak manipülasyonu ve aşırı metrik akışlarının oluşturulması nedeniyle maliyetlerin artmasına yol açabilir.

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

Bir saldırgan, etkilenen metrik veri akışlarının akışını kontrol edebilir (kaynak kısıtlaması yoksa her veri akışı). cloudwatch:StopMetricStreams izni ile, saldırganlar kritik metrik akışlarını durdurarak kötü niyetli faaliyetlerini gizleyebilir.

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

Potansiyel Etki: İzleme verilerinin akışında kesinti, anormalliklerin ve olayların tespitini etkileyebilir.

cloudwatch:TagResource, cloudwatch:UntagResource

Bir saldırgan, CloudWatch kaynaklarından (şu anda yalnızca alarmlar ve Contributor Insights kuralları) etiketler ekleyebilir, değiştirebilir veya kaldırabilir. Bu, etiketlere dayalı olarak kuruluşunuzun erişim kontrol politikalarını etkileyebilir.

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

Potansiyel Etki: Etiket tabanlı erişim kontrol politikalarının kesintiye uğraması.

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin