AWS - EC2 Persistence

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

EC2

如果防御者发现 EC2 实例被攻陷，他可能会尝试隔离该机器的网络。他可以通过显式的 拒绝 NACL 来做到这一点（但 NACL 会影响整个子网），或者 更改安全组，不允许 任何类型的入站或出站 流量。

如果攻击者有一个 来自该机器的反向 shell，即使安全组被修改为不允许入站或出站流量，连接也不会被终止，因为 安全组连接跟踪。

该服务允许调度 AMI 和快照的创建，甚至 与其他账户共享。攻击者可以配置 每周生成所有镜像或所有卷的 AMI 或快照，并 与他的账户共享。

可以调度实例每天、每周甚至每月运行。攻击者可以运行一台具有高权限或有趣访问权限的机器。

Spot 实例比常规实例便宜。攻击者可以发起一个 为期 5 年的小型 Spot Fleet 请求（例如），并 自动分配 IP，以及一个 用户数据，在 Spot 实例启动时 发送给攻击者 IP 地址 和 高权限 IAM 角色。

攻击者可以访问实例并对其进行后门操作：

创建一个 VPN，以便攻击者能够直接通过它连接到 VPC。

在受害者 VPC 和攻击者 VPC 之间创建对等连接，以便他能够访问受害者 VPC。

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

Last updated 1 month ago