AWS Key disabler:AWS IAM用户访问密钥安全保护工具

于 2024-04-17 15:21:34 发布
阅读量1.8k 收藏 25
点赞数 40
分类专栏: 工具 文章标签: aws 安全 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreeBuf_/article/details/137874798
版权

关于AWS Key disabler

AWS Key disabler是一款功能强大的AWS IAM用户访问密钥安全保护工具,该工具可以通过设置一个时间定量来禁用AWS IAM用户访问密钥,以此来降低旧访问密钥所带来的安全风险。

工具运行流程

AWS Key disabler本质上是一个Lambda函数,可以通过下列工作流来实现其功能:

工具要求

当前版本的AWS Key disabler脚本需要使用到下列组件:

1、Node.js和NPM;

2、Gruntjs;

3、AWS CLI命令行工具;

4、启用SWS、验证域名并移除沙盒模式的AWS账号;

开发者工具链

工具安装

注意,下列安装命令仅适用于macOS,Windows和*nix的安装命令可能会有一些区别。

首先,我们需要使用下列命令将该项目源码克隆至本地:

git clone https://github.com/te-papa/aws-key-disabler.git

切换到/grunt目录中,设置Grunt任务运行器,并安装相关依赖:

cd grunt/

npm install

然后在/grunt/package.json文件中添加下列信息:

1、设置AWS账号的aws_account_number值;

2、设置first_warning和last_warning,即触发警报邮件(发送至report_to)的天数时间;

3、设置expiry,即密钥超时天数,如果超时,则会通过电子邮件向用户发送提醒;

4、设置serviceaccount,即需要脚本忽略的账户用户名;

5、设置exclusiongroup,即需要脚本忽略的分配给用户的组名;

6、设置send_completion_report值为True以通过SES发送通知邮件;

7、设置report_to,即用于接收警报和报告的邮件地址;

8、设置report_from,即用于发送警告邮件和报告的邮件地址;

9、设置deployment_region,即支持Lambda支持的区域;

接下来,确保命令行接口已经成功连接到了AWS,可以使用下列命令验证连接是否成功:

aws iam get-user

在命令行接口中,切换到/grunt目录中,并运行下列命令即可完成工具部署:

grunt bumpup && grunt deployLambda

工具使用

使用AWS CLI从命令行接口手动调用Lambda函数

我们可以直接使用函数名称来调用Lambda函数,并将扫描文件的输出结果存储到scan.report.log文件中:

aws lambda invoke --function-name AccessKeyRotation scan.report.log --region us-east-1
{

    "StatusCode": 200

}

使用jq即可在命令行窗口中查看scan.report.log文件中的内容:

jq '.' scan.report.log
{

  "reportdate": "2016-06-26 10:37:24.071091",

  "users": [

    {

      "username": "TestS3User",

      "userid": "1",

      "keys": [

        {

          "age": 72,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************Q3GA1"

        },

        {

          "age": 12,

          "changed": false,

          "state": "key is still young",

          "accesskeyid": "**************F3AA2"

        }

      ]

    },

    {

      "username": "BlahUser22",

      "userid": "2",

      "keys": []

    },

    {

      "username": "LambdaFake1",

      "userid": "3",

       "keys": [

        {

          "age": 23,

          "changed": false,

          "state": "key is due to expire in 1 week (7 days)",

          "accesskeyid": "**************DFG12"

        },

        {

          "age": 296,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************4ZASD"

        }

      ]

    },

    {

      "username": "apiuser49",

      "userid": "4",

       "keys": [

        {

          "age": 30,

          "changed": true,

          "state": "key is now EXPIRED! Changing key to INACTIVE state",

          "accesskeyid": "**************ER2E2"

        },

        {

          "age": 107,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************AWQ4K"

        }

      ]

    },

    {

      "username": "UserEMRKinesis",

      "userid": "5",

       "keys": [

        {

          "age": 30,

          "changed": false,

          "state": "key is now EXPIRED! Changing key to INACTIVE state",

          "accesskeyid": "**************MGB41A"

        }

      ]

    },

    {

      "username": "CDN-Drupal",

      "userid": "6",

       "keys": [

        {

          "age": 10,

          "changed": false,

          "state": "key is still young",

          "accesskeyid": "**************ZDSQ5A"

        },

        {

          "age": 5,

          "changed": false,

          "state": "key is still young",

          "accesskeyid": "**************E3ODA"

        }

      ]

    },

    {

      "username": "ChocDonutUser1",

      "userid": "7",

       "keys": [

        {

          "age": 59,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************CSA123"

        }

      ]

    },

    {

      "username": "ChocDonut2",

      "userid": "8",

       "keys": [

        {

          "age": 60,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************FDGD2"

        }

      ]

    },

    {

      "username": "admin.skynet@cyberdyne.systems.com",

      "userid": "9",

       "keys": [

        {

          "age": 45,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************BLQ5GJ"

        },

        {

          "age": 71,

          "changed": false,

          "state": "key is already in an INACTIVE state",

          "accesskeyid": "**************GJFF53"

        }

      ]

    }

  ]

}

使用样例一

aws lambda list-functions

openssl dgst -binary -sha256 ..\Releases\AccessKeyRotationPackage.1.0.18.zip | openssl base64

aws lambda invoke --function-name AccessKeyRotation report.log --region us-east-1

jq '.' report.log

jq '.users[] | select(.username=="johndoe")' report.log

jq '.' report.log | grep age | cut -d':' -f2 | sort -n

使用样例二

jq 'def maximal_by(f): (map(f) | max) as $mx | .[] | select(f == $mx); .users | maximal_by(.keys[].age)' report.log

jq 'def minimal_by(f): (map(f) | min) as $mn | .[] | select(f == $mn); .users | minimal_by(.keys[].age)' report.log

终端用户输出结果

许可证协议

本项目的开发与发布遵循ISC开源许可证协议。

项目地址

AWS Key disabler:【GitHub传送门

参考资料

Node.js — Run JavaScript Everywhere

Grunt: The JavaScript Task Runner

Command Line Interface - AWS CLI - AWS

https://portal.aws.amazon.com/gp/aws/manageYourAccount

AWS Services by Region - AWS

FreeBuf-
关注
专栏目录
博客
sn0int:一款半自动化OSINT框架和包管理工具
10-29 539
sn0int是一款功能强大的半自动化OSINT框架和包管理工具,可以帮助广大研究人员快速完成网络安全测试阶段的OSINT任务。
博客
法国第二大互联网服务商遭遇数据泄露,波及1900万用户
10-29 237
黑客只能窃取某些固定用户的 IBAN,而且这些 IBAN不足以让黑客从中窃取到资金。
博客
msldap:一款用于审计MS AD的LDAP库
10-28 1025
msldap是一款用于审计MS AD的LDAP库,广大研究人员可以利用该工具轻松执行针对MS AD的安全审计任务。
博客
美国超大型数据泄露事件曝光:超1亿人数据被盗
10-28 775
在 Change Healthcare 勒索软件攻击中,有超过 1 亿人的个人信息和医疗保健数据被盗,这是近年来最大的医疗保健数据泄露事件。
博客
Segugio:一款针对恶意软件的进程执行跟踪与安全分析工具
10-25 896
Segugio是一款功能强大的恶意软件安全分析工具,该工具允许我们轻松分析恶意软件执行的关键步骤,并对其进行跟踪分析和安全审计。
博客
微软:全球每天网络攻击超6亿次
10-25 718
《2024年微软数字防御报告》生动地描绘了迅速演变的网络威胁格局,突出了针对全球组织的攻击的复杂性和数量。
博客
logdata-anomaly-miner:一款安全日志解析与异常检测工具
10-24 1232
logdata-anomaly-miner是一款安全日志解析与异常检测工具,该工具旨在以有限的资源和尽可能低的权限运行分析,以使其适合生产服务器使用。
博客
苹果、特斯拉均受影响,新型漏洞迫使GPU无限循环,直至系统崩溃
10-24 463
如果用户发现自己的设备因这种攻击而陷入崩溃循环,可以尝试在打开浏览器之前在设置中禁用 JavaScript,然后关闭有问题的标签页。
博客
HexForge:一款用于扩展安全汇编和十六进制视图的IDA插件
10-23 616
HexForge是一款用于扩展安全汇编和十六进制视图的IDA插件,在该工具的帮助下,广大研究人员可以方便地直接从 IDA Pro 界面数据解码、解密或执行安全数据审计任务。
博客
K8s曝9.8分漏洞,黑客可获得Root访问权限
10-23 637
安全研究人员Nicolai Rybnikar 发现Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486 ,CVSS :9.8),攻击者可在特定情况下获得Root级访问权限,从而导致系统出现问题。
博客
Secator:一款集多功能于一身的渗透测试工具
10-22 575
Secator是一款集多功能于一身的渗透测试工具,该工具可以极大程度上辅助广大研究人员的渗透测试任务。
博客
多款云存储平台存在安全漏洞,影响超2200万用户
10-22 607
该分析基于一个攻击者控制恶意服务器的威胁模型,该服务器可以随意读取、修改和注入数据,这对国家级行为者和复杂的黑客来说是现实的。
博客
Mercury:一款网络元数据捕捉与安全分析工具
10-21 1387
Mercury是一款功能强大的网络元数据捕捉与安全分析工具,广大研究人员可以利用该工具执行高级网络流量安全审计与分析。
博客
微软运用欺骗性策略大规模打击网络钓鱼活动
10-21 880
微软正在利用欺骗性策略来打击网络钓鱼行为者,方法是通过访问 Azure 生成外形逼真的蜜罐租户,引诱网络犯罪分子进入以收集有关他们的情报。
博客
Caido:一款简单高效的Web应用程序安全审计工具
10-18 1480
Caido是一款简单高效的Web应用程序安全审计工具,该工具旨在帮助安全专业人员和爱好者高效、轻松地审核 Web 应用程序。
博客
ClickFix攻击活动升级:可通过虚假谷歌会议画面传播恶意软件
10-18 799
除了谷歌会议之外,Sekoia 还发现了其他几个恶意软件分发集群,包括 Zoom、PDF 阅读器、虚假视频游戏、web3 浏览器和项目以及信使应用程序。
博客
Damn-Vulnerable-Drone:一款针对无人机安全研究与分析的靶机工具
10-17 1279
Damn-Vulnerable-Drone是一款针对无人机安全研究与分析的靶机工具,广大研究人员可以利用该环境工具轻松学习、研究和分析针对无人机安全态势。
博客
SolarWinds Web Help Desk曝出严重漏洞,已遭攻击者利用
10-17 586
目前, ESET 仍在分析他们观察到的攻击活动,其中一位发言人称恶意活动似乎来自俄罗斯,很可能用于间谍活动。
博客
Betterscan:一款多功能代码安全编排与审计工具
10-16 719
Betterscan是一款多功能代码安全编排与审计工具,该工具可以针对源代码执行代码扫描、SAST、静态分析和其他安全审计任务,并生成可读的整合报告。
博客
可绕过安全防护!EDR Silencer红队工具遭黑客利用
10-16 463
近日,研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值