AWS - Malicious VPC Mirror

Überprüfen Sie https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws für weitere Details zum Angriff!

Passive Netzwerkinspektion in einer Cloud-Umgebung war herausfordernd und erforderte erhebliche Konfigurationsänderungen, um den Netzwerkverkehr zu überwachen. Eine neue Funktion namens “VPC Traffic Mirroring” wurde von AWS eingeführt, um diesen Prozess zu vereinfachen. Mit VPC Traffic Mirroring kann der Netzwerkverkehr innerhalb von VPCs dupliziert werden, ohne dass Software auf den Instanzen selbst installiert werden muss. Dieser duplizierte Verkehr kann an ein Netzwerk-Intrusion-Detection-System (IDS) zur Analyse gesendet werden.

Um den Bedarf an automatisierter Bereitstellung der notwendigen Infrastruktur für das Mirroring und die Exfiltration von VPC-Verkehr zu decken, haben wir ein Proof-of-Concept-Skript namens “malmirror” entwickelt. Dieses Skript kann mit kompromittierten AWS-Anmeldeinformationen verwendet werden, um das Mirroring für alle unterstützten EC2-Instanzen in einer Ziel-VPC einzurichten. Es ist wichtig zu beachten, dass VPC Traffic Mirroring nur von EC2-Instanzen unterstützt wird, die vom AWS Nitro-System betrieben werden, und das VPC-Mirror-Ziel muss sich innerhalb derselben VPC wie die gespiegelten Hosts befinden.

Die Auswirkungen des bösartigen VPC-Verkehrsmirroring können erheblich sein, da es Angreifern ermöglicht, auf sensible Informationen zuzugreifen, die innerhalb von VPCs übertragen werden. Die Wahrscheinlichkeit eines solchen bösartigen Mirroring ist hoch, da Klartextverkehr durch VPCs fließt. Viele Unternehmen verwenden Klartextprotokolle innerhalb ihrer internen Netzwerke aus Leistungsgründen und gehen davon aus, dass traditionelle Man-in-the-Middle-Angriffe nicht möglich sind.

Für weitere Informationen und Zugriff auf das malmirror-Skript finden Sie es in unserem GitHub-Repository. Das Skript automatisiert und optimiert den Prozess, wodurch es für offensive Forschungszwecke schnell, einfach und wiederholbar wird.