AWS - Lambda Persistence

Lambda

有关更多信息，请查看：

Lambda Layer Persistence

可以 引入/后门一个层以在 Lambda 执行时执行任意代码，以隐蔽的方式：

Lambda Extension Persistence

滥用 Lambda Layers 也可以滥用扩展并在 Lambda 中持久化，同时窃取和修改请求。

通过资源策略

可以授予外部账户对不同 Lambda 操作（如调用或更新代码）的访问权限：

版本、别名和权重

一个 Lambda 可以有 不同的版本（每个版本有不同的代码）。 然后，您可以创建 不同的别名与不同版本 的 Lambda，并为每个设置不同的权重。 这样，攻击者可以创建一个 后门版本 1 和一个 仅包含合法代码的版本 2，并 仅在 1% 的请求中执行版本 1 以保持隐蔽。

版本后门 + API 网关

1. 复制 Lambda 的原始代码

2. 创建一个新的版本，后门化 原始代码（或仅包含恶意代码）。发布并 将该版本 部署到 $LATEST

3. 调用与 Lambda 相关的 API 网关以执行代码

4. 创建一个包含原始代码的新版本，发布并将该 版本 部署到 $LATEST。

5. 这将隐藏之前版本中的后门代码

6. 转到 API 网关并 创建一个新的 POST 方法（或选择任何其他方法），该方法将执行 Lambda 的后门版本：arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1

7. 注意最终的 :1 的 arn 指示函数的版本（在此场景中，版本 1 将是后门版本）。

8. 选择创建的 POST 方法，在操作中选择 部署 API

9. 现在，当您 通过 POST 调用函数时，您的后门 将被调用

Cron/Event actuator

您可以使 Lambda 函数在某些事件发生或经过一段时间后运行，这使得 Lambda 成为获得持久性和避免检测的良好且常见的方法。 以下是一些想法，可以通过创建 Lambda 来使您在 AWS 中的 存在更加隐蔽。

• 每当创建新用户时，Lambda 生成一个新用户密钥并将其发送给攻击者。

• 每当创建新角色时，Lambda 授予被攻陷用户假设角色的权限。

• 每当生成新的 CloudTrail 日志时，删除/更改它们。