Amazon Macie

Reading time: 5 minutes

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

Macie

Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в обліковому записі AWS. Він використовує машинне навчання для безперервного моніторингу та аналізу даних, головним чином зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані cloud trail event та шаблони поведінки користувачів.

Ключові особливості Amazon Macie:

  1. Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
  2. Виявлення аномалій: Ідентифікує нерегулярні дії або шаблони доступу, генеруючи сповіщення для зменшення потенційних ризиків витоку даних.
  3. Безперервний моніторинг: Автоматично моніторить та виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до шаблонів доступу до даних з часом.
  4. Класифікація даних з NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, присвоюючи ризикові бали для пріоритизації знахідок.
  5. Моніторинг безпеки: Ідентифікує дані, чутливі до безпеки, включаючи API ключі, секретні ключі та особисту інформацію, допомагаючи запобігти витокам даних.

Amazon Macie є регіональним сервісом і вимагає роль IAM 'AWSMacieServiceCustomerSetupRole' та активований AWS CloudTrail для функціонування.

Система сповіщень

Macie класифікує сповіщення на попередньо визначені категорії, такі як:

  • Анонімний доступ
  • Відповідність даним
  • Втрата облікових даних
  • Підвищення привілеїв
  • Вимагач
  • Підозрілий доступ тощо.

Ці сповіщення надають детальні описи та розподіл результатів для ефективної реакції та вирішення.

Функції панелі управління

Панель управління класифікує дані на різні секції, включаючи:

  • Об'єкти S3 (за часовим діапазоном, ACL, PII)
  • Високоризикові події/користувачі CloudTrail
  • Локації активності
  • Типи ідентичності користувачів CloudTrail та інше.

Класифікація користувачів

Користувачі класифікуються на рівні залежно від рівня ризику їх API викликів:

  • Platinum: Високоризикові API виклики, часто з адміністративними привілеями.
  • Gold: API виклики, пов'язані з інфраструктурою.
  • Silver: API виклики середнього ризику.
  • Bronze: API виклики низького ризику.

Типи ідентичності

Типи ідентичності включають Root, IAM користувач, Прийнята роль, Федеративний користувач, AWS обліковий запис та AWS сервіс, що вказує на джерело запитів.

Класифікація даних

Класифікація даних охоплює:

  • Content-Type: На основі виявленого типу вмісту.
  • Розширення файлу: На основі розширення файлу.
  • Тема: Класифікована за ключовими словами у файлах.
  • Regex: Класифікована на основі специфічних шаблонів regex.

Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.

Дослідження та аналіз

Функція дослідження Amazon Macie дозволяє виконувати користувацькі запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості S3 Bucket та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, що полегшує спільне управління даними та моніторинг безпеки.

Перелік знахідок з AWS Console

Після сканування конкретного S3 bucket на наявність секретів та чутливих даних, будуть згенеровані та відображені знахідки в консолі. Уповноважені користувачі з достатніми правами можуть переглядати та перераховувати ці знахідки для кожної роботи.

Screenshot 2025-02-10 at 19 08 08

Виявлення секрету

Amazon Macie надає функцію, яка відображає виявлені секрети у форматі відкритого тексту. Ця функціональність допомагає в ідентифікації скомпрометованих даних. Однак відображення секретів у відкритому тексті зазвичай не вважається кращою практикою через проблеми безпеки, оскільки це може потенційно розкрити чутливу інформацію.

Screenshot 2025-02-10 at 19 13 53 Screenshot 2025-02-10 at 19 15 11

Enumeration

bash
# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

tip

З точки зору атакуючого, ця служба не призначена для виявлення атакуючого, а для виявлення чутливої інформації у збережених файлах. Тому ця служба може допомогти атакуючому знайти чутливу інформацію всередині бакетів.
Однак, можливо, атакуючий також може бути зацікавлений у її порушенні, щоб запобігти отриманню жертвою сповіщень і легше вкрасти цю інформацію.

TODO: PRs are welcome!

References

tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks