AWS - Malicious VPC Mirror

查看 https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws 以获取攻击的更多细节！

在云环境中进行被动网络检查一直是具有挑战性的，需要进行重大配置更改以监控网络流量。然而，AWS 引入了一项名为“VPC 流量镜像”的新功能，以简化此过程。通过 VPC 流量镜像，可以复制 VPC 内的网络流量，而无需在实例上安装任何软件。此复制的流量可以发送到网络入侵检测系统 (IDS) 进行分析。

为了满足自动部署镜像和提取 VPC 流量所需基础设施的需求，我们开发了一个名为“malmirror”的概念验证脚本。该脚本可以与被攻陷的 AWS 凭证一起使用，以设置目标 VPC 中所有支持的 EC2 实例的镜像。需要注意的是，VPC 流量镜像仅支持由 AWS Nitro 系统提供支持的 EC2 实例，并且 VPC 镜像目标必须与被镜像主机位于同一 VPC 中。

恶意 VPC 流量镜像的影响可能是显著的，因为它允许攻击者访问在 VPC 内传输的敏感信息。考虑到 VPC 中存在明文流量，这种恶意镜像的可能性很高。许多公司在其内部网络中使用明文协议以性能原因，假设传统的中间人攻击是不可能的。

有关更多信息和访问 malmirror 脚本，可以在我们的GitHub 仓库中找到。该脚本自动化并简化了该过程，使其对攻击性研究目的快速、简单且可重复。