AWS - Malicious VPC Mirror

Kyk na https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws vir verdere besonderhede van die aanval!

Passiewe netwerkinspeksie in 'n wolkomgewing was uitdagend, wat groot konfigurasiewijzigings vereis het om netwerkverkeer te monitor. 'n Nuwe funksie genaamd “VPC Traffic Mirroring” is egter deur AWS bekendgestel om hierdie proses te vereenvoudig. Met VPC Traffic Mirroring kan netwerkverkeer binne VPC's gedupliseer word sonder om enige sagteware op die instansies self te installeer. Hierdie gedupliseerde verkeer kan na 'n netwerkindringingsdeteksiesisteem (IDS) gestuur word vir ontleding.

Om die behoefte aan geoutomatiseerde ontplooiing van die nodige infrastruktuur vir spieëling en ekfiltrering van VPC-verkeer aan te spreek, het ons 'n bewys-van-konsep-skrip genaamd “malmirror” ontwikkel. Hierdie skrip kan gebruik word met gekompromitteerde AWS-akkrediteer om spieëling op te stel vir alle ondersteunde EC2-instansies in 'n teiken VPC. Dit is belangrik om te noem dat VPC Traffic Mirroring slegs deur EC2-instansies wat deur die AWS Nitro-stelsel aangedryf word, ondersteun word, en die VPC-spieëlteiken moet binne dieselfde VPC as die gespiegelde gasheer wees.

Die impak van kwaadwillige VPC-verkeer spieëling kan beduidend wees, aangesien dit aanvallers in staat stel om toegang te verkry tot sensitiewe inligting wat binne VPC's oorgedra word. Die waarskynlikheid van sulke kwaadwillige spieëling is hoog, gegewe die teenwoordigheid van duidelike teks verkeer wat deur VPC's vloei. Baie maatskappye gebruik duidelike teks protokolle binne hul interne netwerke vir prestasie redes, met die aanname dat tradisionele man-in-the-middle-aanvalle nie moontlik is nie.

Vir meer inligting en toegang tot die malmirror skrip, kan dit op ons GitHub-bewaarplek gevind word. Die skrip outomatiseer en stroomlyn die proses, wat dit vinning, eenvoudig en herhaalbaar maak vir offensiewe navorsingsdoeleindes.