Cloud Post-Exploitation: ক্লাউডে অনুপ্রবেশের পর হ্যাকারদের পরবর্তী পদক্ষেপগুলো কী?

Post-Exploitation হলো MITRE ATT&CK framework-এর সেই ধাপগুলো যা initial access পাওয়ার পর শুরু হয়—Discovery, Privilege Escalation, Defense Evasion, Credential Access, Lateral Movement, Collection, এবং Exfiltration। ক্লাউড পরিবেশে এই প্রতিটি ধাপ traditional on-premise environment থেকে আলাদা।

প্রচলিত network-এ attacker-কে Windows AD-এর সাথে যুদ্ধ করতে হতো, কিন্তু ক্লাউডে যুদ্ধটা হয় API-এর সাথে। AWS-এ একটি IAM role-এর iam:PassRole permission থাকলেই attacker পুরো account compromise করতে পারে। Azure-এ Global Administrator role পেলে পুরো tenant হাতে আসে। GCP-এ Service Account impersonation দিয়ে privilege escalation সম্ভব।

CrowdStrike-এর Global Threat Report ২০২৪ অনুসারে cloud-conscious adversaries-এর সংখ্যা গত বছরে ৭৫ শতাংশ বেড়েছে। SCATTERED SPIDER, COZY BEAR, এবং MUDDYWATER-এর মতো গ্রুপ এখন cloud-native attack-এ বিশেষজ্ঞ।

Post-Exploitation শুরু হওয়ার আগে attacker কোনো না কোনোভাবে initial access পেয়েছে। সাধারণ entry point গুলো হলো:

• Leaked credentials: GitHub, GitLab, বা public bucket-এ accidentally commit হওয়া access key
• Phishing: SSO portal-এ phishing-এর মাধ্যমে session token চুরি
• SSRF Exploitation: Web application-এর SSRF দিয়ে IMDS থেকে credential চুরি (Capital One ব্রিচের মতো)
• OAuth Consent Phishing: Malicious app-এ user-কে consent দিতে প্রলুব্ধ করা
• Supply Chain Attack: Compromised CI/CD pipeline বা third-party SaaS

একবার ভেতরে ঢোকার পর attacker-এর প্রথম কাজ হলো নিজের অবস্থান বোঝা—কোন account-এ আছে, কী permission আছে, কোন রিসোর্স দৃশ্যমান।

ক্লাউডে discovery মূলত API enumeration-এর মাধ্যমে হয়। attacker সাবধানে কাজ করে যাতে CloudTrail বা Azure Monitor-এ অস্বাভাবিক pattern না দেখায়।

AWS-এ Recon: aws sts get-caller-identity দিয়ে নিজের identity যাচাই করা হয়। তারপর aws iam list-attached-user-policies, aws iam get-account-authorization-details দিয়ে permission enumerate করা হয়। Pacu নামক ওপেন-সোর্স AWS exploitation framework এই কাজগুলো স্বয়ংক্রিয়ভাবে করে।

Azure-এ Recon: ROADtools এবং AzureHound দিয়ে Azure AD enumerate করা হয়। Get-AzureADUser, Get-AzureADDirectoryRole ইত্যাদি cmdlet ব্যবহার করে users, groups, এবং role assignments বের করা হয়।

GCP-এ Recon: gcloud projects list, gcloud iam service-accounts list দিয়ে project ও service account enumerate করা হয়। GCPBucketBrute দিয়ে public bucket খোঁজা হয়।

দক্ষ attacker --dry-run flag বা read-only API ব্যবহার করে minimal footprint রাখার চেষ্টা করে। অনেক sophisticated actor compromised CI/CD pipeline থেকেই recon করে যাতে suspicious IP-এর সমস্যা না হয়।

ক্লাউডে privilege escalation প্রায়শই IAM misconfiguration-এর সুযোগে হয়। নিচে কয়েকটি জনপ্রিয় কৌশল।

iam:PassRole + Service Creation: যদি একটি user-এর iam:PassRole এবং lambda:CreateFunction permission থাকে, তাহলে সে একটি Lambda function তৈরি করে সেটিকে admin role assign করতে পারে। তারপর function execute করে admin-এর মতো কাজ করা যায়।

iam:CreateAccessKey: যদি কেউ অন্য user-এর জন্য access key তৈরি করতে পারে, তাহলে সে সেই user-এর identity ধার করতে পারে।

iam:UpdateAssumeRolePolicy: এই permission থাকলে attacker একটি existing role-এর trust policy পরিবর্তন করে নিজেকে সেই role assume করতে পারে।

EC2 Instance Profile Abuse: EC2 instance-এ ssm:SendCommand বা ec2:RunInstances permission থাকলে attacker একটি new instance launch করে high-privilege role attach করে নিতে পারে।

Azure-এ User Access Administrator Abuse: Azure-এ যে কোনো subscription-এর User Access Administrator role থাকলে attacker নিজেকে Owner বানিয়ে নিতে পারে।

GCP-এ ActAs Permission: iam.serviceAccounts.actAs permission থাকলে service account impersonation সম্ভব, যা privilege escalation-এর সরাসরি পথ।

Rhino Security-এর বিখ্যাত গবেষণা AWS-এ ২১টিরও বেশি privilege escalation path চিহ্নিত করেছে। Pacu framework-এ এসব automated module আছে।

একবার access পেলে attacker সেই access ধরে রাখার জন্য বিভিন্ন backdoor সেট করে।

Additional Access Key: Compromised user-এর জন্য নতুন access key তৈরি করা সবচেয়ে সহজ persistence। AWS-এ প্রতি user-এর ২টি access key থাকতে পারে।

Backdoor IAM User/Role: একটি innocuous নামের নতুন IAM user তৈরি করা যেমন aws-monitoring বা terraform-svc, যাতে SOC team সন্দেহ না করে।

Lambda Function Backdoor: একটি Lambda function তৈরি করে CloudWatch Events দিয়ে scheduled execute করা, যা প্রতিবার একটি reverse shell বা new credential তৈরি করে।

Cross-Account Trust: Attacker-এর নিজস্ব AWS account থেকে compromised account-এর role assume করার trust relationship তৈরি করা। এতে original credential revoke হলেও access বজায় থাকে।

Azure-এ Application Registration: একটি malicious Application তৈরি করে Mail.Read বা User.ReadWrite.All-এর মতো high-privilege permission যোগ করা।

SAML Federation Hijack: Azure AD-এর federation settings পরিবর্তন করে attacker-এর IdP-কে trusted হিসেবে যোগ করা—Golden SAML-এর মতো।

Conditional Access Bypass: নতুন excluded user যোগ করে MFA requirement বাইপাস করা।

Modern attacker জানে cloud-এ সব কাজই লগ হয়, তাই তারা defense evasion-এ বিশেষ মনোযোগ দেয়।

CloudTrail Disabling: cloudtrail:StopLogging বা cloudtrail:DeleteTrail দিয়ে লগিং বন্ধ করা। তবে এটি সরাসরি alert ট্রিগার করে, তাই sophisticated attacker এটি এড়ায়।

Log Tampering: S3 bucket-এ লগ সংরক্ষিত হলে সেই bucket-এর object delete করে evidence মুছে দেওয়া।

GuardDuty Suspension: AWS GuardDuty disable বা suspend করা attacker-এর জন্য detection avoidance-এর সরাসরি পথ।

Region Hopping: AWS-এ unused region-এ কাজ করা যেখানে GuardDuty enabled নাও থাকতে পারে।

API Throttling Avoidance: Slow ও distributed API call করা যাতে rate-based detection না ধরে।

Living off the Cloud: Native cloud services (SSM, CloudShell, Cloud Functions) ব্যবহার করা, যাতে external tool detection এড়ানো যায়।

Cloud পরিবেশে lateral movement traditional network-এর মতো নয়। এখানে credential চুরি এবং trust relationship exploit-ই মূল হাতিয়ার।

Secrets Manager/Key Vault Dump: Attacker secretsmanager:GetSecretValue permission থাকলে সব secret dump করে। এতে database password, API key, OAuth token পাওয়া যেতে পারে।

SSM Parameter Store: AWS SSM-এ অনেকে sensitive data রাখে। ssm:GetParameters দিয়ে এগুলো বের করা যায়।

EC2 Instance Connect/SSM Session Manager: Attacker সরাসরি EC2 instance-এ shell পেতে পারে IAM permission-এর মাধ্যমে, SSH key ছাড়াই।

Cross-Account Role Assumption: যদি current account-এর কোনো role অন্য account-এর resource access করতে পারে, attacker সেই path-এ pivot করে।

Hybrid Environment Pivoting: AWS Directory Service বা Azure AD Connect-এর মাধ্যমে cloud থেকে on-premise AD-তে movement সম্ভব।

Post-Exploitation-এর চূড়ান্ত লক্ষ্য সাধারণত ডেটা চুরি বা ransom।

S3 Bucket Exfil: Attacker compromised credential দিয়ে S3 bucket sync করে নিজের bucket-এ। aws s3 sync কমান্ড সিম্পল কিন্তু effective।

Snapshot Sharing: EBS volume বা RDS snapshot তৈরি করে attacker-এর account-এ share করা। এতে original account-এ outbound traffic কম দেখা যায়।

Database Dump: RDS-এ rds:RestoreDBInstanceFromDBSnapshot দিয়ে database restore করে attacker-এর VPC-তে নিয়ে আসা।

Lambda-based Exfil: একটি Lambda function তৈরি করে যা ডেটা encode করে DNS query-এর মাধ্যমে exfiltrate করে—legitimate DNS traffic-এ মিশে যায়।

Email Forwarding Rule: Microsoft 365-এ inbox rule তৈরি করে সব email attacker-এর কাছে forward করা। Storm-0558 ঠিক এই কৌশল ব্যবহার করেছিল।

Codecov Supply Chain Attack (2021): Attacker Codecov-এর Bash Uploader script modify করে CI/CD pipeline থেকে environment variable চুরি করে। এসব variable-এ AWS access key থাকায় শত শত প্রতিষ্ঠানের ক্লাউড account compromise হয়।

SolarWinds/Solorigate (2020): Attacker SAML token forge করে Azure AD-তে Golden SAML attack চালায়। Microsoft 365-এ persistent access বজায় রাখার জন্য Application Impersonation যোগ করা হয়।

LastPass Breach (2022-2023): Attacker একজন DevOps engineer-এর computer compromise করে AWS access key চুরি করে। তারপর S3 bucket থেকে encrypted vault backup exfiltrate করে।

SCATTERED SPIDER Campaigns: এই গ্রুপ social engineering-এর মাধ্যমে Okta admin access পেয়ে cloud SaaS application গুলোতে অনুপ্রবেশ করে। MGM এবং Caesars-এর ক্ষেত্রে এই কৌশল দেখা গেছে।

Post-Exploitation থেকে সুরক্ষার জন্য defense-in-depth প্রয়োজন।

Least Privilege ও Permission Boundary: কাউকেই অতিরিক্ত permission দেবেন না। AWS-এ Permission Boundary এবং SCP দিয়ে maximum privilege সীমিত করুন।

Anomaly Detection: AWS GuardDuty, Azure Sentinel, এবং Microsoft Defender for Cloud-এ behavioral anomaly detection enable করুন। অস্বাভাবিক API call, impossible travel, বা unusual region activity-তে alert সেট করুন।

Honeytokens: Canarytokens বা AWS Canary credential ছড়িয়ে রাখুন। এগুলো ব্যবহৃত হলে সাথে সাথে compromise নিশ্চিত হয়।

Conditional Access: Azure-এ Conditional Access policy দিয়ে untrusted location থেকে high-privilege access ব্লক করুন।

Just-in-Time Access: Standing privileged access দূর করুন। Azure PIM বা AWS IAM Identity Center-এর JIT feature ব্যবহার করুন।

Immutable Logs: CloudTrail logs S3-এর Object Lock-enabled bucket-এ পাঠান যাতে attacker delete করতে না পারে। Cross-account log archiving সেটআপ করুন।

Regular IAM Audit: AWS IAM Access Analyzer, Azure AD Access Reviews ব্যবহার করে unused permission চিহ্নিত করুন।

Incident Response Plan: Cloud-specific IR playbook তৈরি করুন। কোন কাজে কোন credential rotate করতে হবে, কোন region quarantine করতে হবে—সব পূর্বনির্ধারিত রাখুন।

Red Team Exercise: নিয়মিত internal বা external Red Team দিয়ে assumed breach exercise করুন। Stratus Red Team, CloudGoat, এবং AWSGoat-এর মতো platform-এ টিমকে train করুন।