AWS - EC2 Persistence

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

EC2

Für weitere Informationen siehe:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Sicherheit Gruppenverbindungsverfolgung Persistenz

Wenn ein Verteidiger feststellt, dass eine EC2-Instanz kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Er könnte dies mit einer expliziten Deny NACL tun (aber NACLs betreffen das gesamte Subnetz) oder die Sicherheitsgruppe ändern, um keine Art von eingehendem oder ausgehendem Verkehr zuzulassen.

Wenn der Angreifer eine Reverse Shell von der Maschine hatte, wird die Verbindung nicht beendet, selbst wenn die SG geändert wird, um keinen eingehenden oder ausgehenden Verkehr zuzulassen, aufgrund der Sicherheitsgruppenverbindungsverfolgung.

EC2 Lifecycle Manager

Dieser Dienst ermöglicht es, die Erstellung von AMIs und Snapshots zu planen und sogar sie mit anderen Konten zu teilen. Ein Angreifer könnte die Generierung von AMIs oder Snapshots aller Images oder aller Volumes jede Woche konfigurieren und sie mit seinem Konto teilen.

Geplante Instanzen

Es ist möglich, Instanzen so zu planen, dass sie täglich, wöchentlich oder sogar monatlich ausgeführt werden. Ein Angreifer könnte eine Maschine mit hohen Berechtigungen oder interessantem Zugriff betreiben, auf die er zugreifen könnte.

Spot Fleet Anfrage

Spot-Instanzen sind günstiger als reguläre Instanzen. Ein Angreifer könnte eine kleine Spot-Fleet-Anfrage für 5 Jahre (zum Beispiel) mit automatischer IP-Zuweisung und Benutzerdaten, die an den Angreifer sendet, wenn die Spot-Instanz startet und die IP-Adresse sowie mit einer hochprivilegierten IAM-Rolle.

Hintertür-Instanzen

Ein Angreifer könnte Zugriff auf die Instanzen erhalten und sie mit Hintertüren versehen:

Verwendung eines traditionellen Rootkits zum Beispiel
Hinzufügen eines neuen öffentlichen SSH-Schlüssels (siehe EC2 Privesc-Optionen)
Hintertür in den Benutzerdaten

Hintertür-Startkonfiguration

Hintertür in das verwendete AMI
Hintertür in den Benutzerdaten
Hintertür im Schlüsselpaar

VPN

Erstelle ein VPN, damit der Angreifer direkt über dieses in die VPC verbinden kann.

VPC Peering

Erstelle eine Peering-Verbindung zwischen der Opfer-VPC und der Angreifer-VPC, damit er auf die Opfer-VPC zugreifen kann.

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 1 month ago