Ближайшее время тут появится ряд полезных материалов и трюков по безопасности AWS, а может и ещё чего

Оставайтесь на связи)

Думаю в первую очередь стоит поделиться презентацией с Zeronights Web Village 2019 о AWS секьюрити. Особено рекомендую заглянуть в конец презентации в секцию ссылок на полезные материалы, чуть позже некоторые из них будут разобраны подробнее.

Как и обещал, начинаем разбирать различные полезные материалы. В первую очередь хочется порекомендовать отличное (на мой взгляд) выступление https://www.youtube.com/watch?v=vV7xN2JQNOU , спикер разбирает базовые принципы AWS и даже проводит некую параллель между AWS и AD, после чего переходит к рассказу о инструментах и разных техниках. Чем-то схоже с тем что расказывал я на WV, но у этого спикера есть запись выступления в хорошем качестве) Так что это отличный способ начать приобщаться к AWS Security, если вы упустили моё выступление на Zeronights WV 2019.

Тем временем Amazon анонсировал крайне любопытную новость. Ребята планируют выкатить вторую версию метадата API (IMDSv2). Занятно, что в отличии от других облачных решений амазон предлагает не просто добавлять статичный заголовок, а целую схему с получением динамического токена с помощью метода PUT и внедрением его в каждый последующий запрос через заголовки. Это серьёзно усложнит жизнь злоумышленникам пытающимся эксплуатировать SSRF до метадата API. Фишка с блокировкой запросов содержащих X-Forwarded-For заголовок, кстати, тоже на месте, это не позволит эксплуатировать излишне широко сконфигурированные прокси. Но и это ещё не всё, теперь ответы от метадате API содержащие токен будут снабжаться TTL равным 1, что не позволит получать их через обходные пути типа NAT или VPN туннелей, впрочем, я пока не до конца понимаю как это будет работать. Такое вообще есть у кого из конкурентов?
Одна беда, старая версию метадата API (IMDSv1) всё ещё на месте и будет доступна по умолчанию ещё долгое время (а что вы хотели, обратную совместимость для клиентов надо же обеспечивать), так что багхантерам пока не стоит хвататься за сердце, все старые трюки продолжают работать на IMDSv1. Подробнее про новую версию API: https://aws.amazon.com/ru/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

Тут недавно появился новый интересный инструмент для визуализации и анализа прав и связей внутри вашей AWS инфраструктуры. Инструмент сделан ребятами подарившими миру dref, drozer, needle и ещё пару стоящих инструментов. (Вы могли слышать о них как о MWR labs, но теперь они в крепких руках F-secure и зовут себя F-secure labs 😄)

Для работы как обычно нужны политики SecurityAudit + ReadOnlyAccess.

Сам инcтрумент: https://github.com/fsecurelabs/awspx
Пост о нём в блоге: https://labs.f-secure.com/blog/awspx/

P.S. А ещё у них крутое лого с воронами

Поскольку канал у нас в целом о безопасности облачных решений, а не только AWS (как может показаться, судя по постам) хочется разбавить контент другой технологией. Посмотрим в сторону Azure, а если быть точнее Azure AD. Не стоит путать его с привычным Active Directory. С ним у Azure AD куда меньше связи, чем может показаться на первый взгляд. В общем, что это я, вот ссылка на оригинальный доклад с Def Con 27, где подробно рассматривается тема Azure AD.

https://www.youtube.com/watch?v=xei8lAPitX8&list=PL9fPq3eQfaaA4qJEQQyXDYtTIfxCNA0wB

Всё больше разных фреймворков для постэкплуатации AWS появляется на свет. Вот, например, на Black Hat Europe 2019 релизнулся ещё один инструмент. Прикольной "фичей" которого, можно считать автоматизацию развёртки метасплоит/эмпире пейлоадов на EC2 инстансах и обещание доделать полную интеграции с ними. Впрочем, имхо выглядит скорее, как yet another tool, но дело вкуса.

Сам инструмент: https://github.com/Voulnet/barq
Немного больше слов тут: https://portswigger.net/daily-swig/barq-post-exploitation-framework-plays-havoc-with-aws-infrastructure

Крайне интересный, на мой вгляд, сценарий пост-эксплуатации в Azure описали ребята из NETSPI. Оказывается для работы Azure Cloud Shell используются образы монтируемых файловых систем хранящиеся в общем на весь аккаунт Azure Storage, таким образом, скомпрометированный пользователь Bob, может поправить/почитать чужой образ ФС пользователя Alice выудив оттуда секреты или дописав команды в автозапуск. Они сработают на старте следующей shell сессии Alice. Ну, я так понял)

Оригинальная статья со всеми деталями: https://blog.netspi.com/attacking-azure-cloud-shell/

Отдельно стоит обратить внимание, на упоминаемый в статье из прошлого поста репозиторий с набором powershell скриптов для анализа и эксплуатации уязвимостей в Azure. Репозиторий так же содержит ссылки на статьи и презентации посвещённые анализу защишености инфраструктуры Azure.

Ссылка на репозиторий: https://github.com/NetSPI/MicroBurst

Ничего на свете лучше нету, чем позалипать на пушистый граф после новогодних праздников. Именно по этому вашему вниманию представляется еще один инструмент в области визуализации IAM - AAIA. Лучше ли он чем  lyft/cartography?  Нунинаю...

Ссылка на репозиторий: https://github.com/rams3sh/Aaia

В твиттере постят и я запощу. Интересный инструмент для автоматизированной работы с возникающими алертами в AWS. При возникновении алерта автоматически собираются данные по причинам его тригера, генерируется отчет и даже может высылаться в ваш любимый Slack, PageDuty, Github Enterprise. Имхо, звучит интересно, слава богу в этот раз не пришлось постить еще обертку над Neo4j )

Ссылка на репозиторий: https://github.com/m-mizutani/AlertResponder