gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 22:50:43 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-privilege-escalation/

Browse Source
This commit is contained in:
Translator
2025-02-15 01:16:07 +00:00
parent ad86a17b65
commit 2edfe222b8
3 changed files with 24 additions and 126 deletions
Download Patch File Download Diff File Expand all files Collapse all files

116
src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md
View File

@@ -1,116 +0,0 @@
# AWS - Macie Enum
## AWS - Macie Enum
{{#include ../../../../banners/hacktricks-training.md}}
## Macie
Amazon Macie hebt sich als ein Dienst hervor, der **automatisch Daten innerhalb eines AWS-Kontos erkennen, klassifizieren und identifizieren** kann. Er nutzt **maschinelles Lernen**, um Daten kontinuierlich zu überwachen und zu analysieren, wobei der Schwerpunkt auf der Erkennung und Alarmierung bei ungewöhnlichen oder verdächtigen Aktivitäten liegt, indem **CloudTrail-Ereignisdaten** und Benutzerverhaltensmuster untersucht werden.
Wichtige Funktionen von Amazon Macie:
1. **Aktive Datenüberprüfung**: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen innerhalb des AWS-Kontos stattfinden.
2. **Anomalieerkennung**: Identifiziert unregelmäßige Aktivitäten oder Zugriffsverhalten und generiert Alarme, um potenzielle Risiken der Datenexposition zu mindern.
3. **Kontinuierliche Überwachung**: Überwacht und erkennt automatisch neue Daten in Amazon S3 und verwendet maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Zugriffsverhalten anzupassen.
4. **Datenklassifizierung mit NLP**: Nutzt die Verarbeitung natürlicher Sprache (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, wobei Risikopunkte zugewiesen werden, um Ergebnisse zu priorisieren.
5. **Sicherheitsüberwachung**: Identifiziert sicherheitsrelevante Daten, einschließlich API-Schlüssel, geheimer Schlüssel und persönlicher Informationen, um Datenlecks zu verhindern.
Amazon Macie ist ein **regionaler Dienst** und erfordert die IAM-Rolle 'AWSMacieServiceCustomerSetupRole' sowie einen aktivierten AWS CloudTrail für die Funktionalität.
### Alarmsystem
Macie kategorisiert Alarme in vordefinierte Kategorien wie:
- Anonymisierter Zugriff
- Datenkonformität
- Verlust von Anmeldeinformationen
- Privilegieneskalation
- Ransomware
- Verdächtiger Zugriff usw.
Diese Alarme bieten detaillierte Beschreibungen und Ergebnisanalysen für eine effektive Reaktion und Lösung.
### Dashboard-Funktionen
Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich:
- S3-Objekte (nach Zeitbereich, ACL, PII)
- Hochrisiko-CloudTrail-Ereignisse/-Benutzer
- Aktivitätsstandorte
- CloudTrail-Benutzeridentitätstypen und mehr.
### Benutzerkategorisierung
Benutzer werden basierend auf dem Risikoniveau ihrer API-Aufrufe in Stufen eingeteilt:
- **Platin**: Hochrisiko-API-Aufrufe, oft mit Administratorrechten.
- **Gold**: Infrastrukturbezogene API-Aufrufe.
- **Silber**: Mittelrisiko-API-Aufrufe.
- **Bronze**: Niedrigrisiko-API-Aufrufe.
### Identitätstypen
Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen.
### Datenklassifizierung
Die Datenklassifizierung umfasst:
- Inhaltstyp: Basierend auf dem erkannten Inhaltstyp.
- Dateierweiterung: Basierend auf der Dateierweiterung.
- Thema: Kategorisiert nach Schlüsselwörtern innerhalb von Dateien.
- Regex: Kategorisiert basierend auf spezifischen Regex-Mustern.
Das höchste Risiko unter diesen Kategorien bestimmt das endgültige Risikoniveau der Datei.
### Forschung und Analyse
Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es die Einladung anderer Konten zur gemeinsamen Nutzung von Amazon Macie, um die kollaborative Datenverwaltung und Sicherheitsüberwachung zu erleichtern.
### Enumeration
```
# Get buckets
aws macie2 describe-buckets
# Org config
aws macie2 describe-organization-configuration
# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org
# Get macie account members (run this form the admin account)
aws macie2 list-members
# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration
# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>
# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>
# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
```
#### Post Exploitation
> [!TIP]
> Aus der Perspektive eines Angreifers ist dieser Dienst nicht dazu gedacht, den Angreifer zu erkennen, sondern um sensible Informationen in den gespeicherten Dateien zu erkennen. Daher könnte dieser Dienst **einem Angreifer helfen, sensible Informationen** in den Buckets zu finden.\
> Vielleicht könnte ein Angreifer jedoch auch daran interessiert sein, ihn zu stören, um zu verhindern, dass das Opfer Warnungen erhält und diese Informationen leichter stehlen kann.
TODO: PRs sind willkommen!
## References
- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/)
{{#include ../../../../banners/hacktricks-training.md}}