AWS - Lambda Persistence
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Για περισσότερες πληροφορίες ελέγξτε:
AWS - Lambda EnumΕίναι δυνατόν να εισαγάγετε/πίσω πόρτα μια layer για να εκτελέσετε αυθαίρετο κώδικα όταν η lambda εκτελείται με stealth τρόπο:
AWS - Lambda Layers PersistenceΚαταχρώντας τις Lambda Layers είναι επίσης δυνατό να καταχραστείτε τις επεκτάσεις και να παραμείνετε στη lambda αλλά και να κλέψετε και να τροποποιήσετε αιτήματα.
AWS - Abusing Lambda ExtensionsΕίναι δυνατόν να παραχωρήσετε πρόσβαση σε διαφορετικές ενέργειες lambda (όπως invoke ή update code) σε εξωτερικούς λογαριασμούς:
Μια Lambda μπορεί να έχει διαφορετικές εκδόσεις (με διαφορετικό κώδικα κάθε έκδοση). Στη συνέχεια, μπορείτε να δημιουργήσετε διαφορετικούς ψευδώνυμους με διαφορετικές εκδόσεις της lambda και να ορίσετε διαφορετικά βάρη σε κάθε μία. Με αυτόν τον τρόπο, ένας επιτιθέμενος θα μπορούσε να δημιουργήσει μια πίσω πόρτα έκδοση 1 και μια έκδοση 2 με μόνο τον νόμιμο κώδικα και να εκτελεί μόνο την έκδοση 1 στο 1% των αιτημάτων για να παραμείνει stealth.
Αντιγράψτε τον αρχικό κώδικα της Lambda
Δημιουργήστε μια νέα έκδοση πίσω πόρτας του αρχικού κώδικα (ή απλώς με κακόβουλο κώδικα). Δημοσιεύστε και αναπτύξτε αυτήν την έκδοση στο $LATEST
Καλέστε την πύλη API που σχετίζεται με τη lambda για να εκτελέσετε τον κώδικα
Δημιουργήστε μια νέα έκδοση με τον αρχικό κώδικα, Δημοσιεύστε και αναπτύξτε αυτήν την έκδοση στο $LATEST.
Αυτό θα κρύψει τον κώδικα πίσω πόρτας σε μια προηγούμενη έκδοση
Μεταβείτε στην πύλη API και δημιουργήστε μια νέα μέθοδο POST (ή επιλέξτε οποιαδήποτε άλλη μέθοδο) που θα εκτελεί την έκδοση πίσω πόρτας της lambda: arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1
Σημειώστε το τελικό :1 του arn που υποδεικνύει την έκδοση της συνάρτησης (η έκδοση 1 θα είναι η πίσω πόρτα σε αυτό το σενάριο).
Επιλέξτε τη μέθοδο POST που δημιουργήθηκε και στις Ενέργειες επιλέξτε Deploy API
Τώρα, όταν καλέσετε τη συνάρτηση μέσω POST η Πίσω Πόρτα σας θα κληθεί
Το γεγονός ότι μπορείτε να κάνετε συναρτήσεις lambda να εκτελούνται όταν συμβαίνει κάτι ή όταν περνάει κάποιος χρόνος καθιστά τη lambda έναν ωραίο και κοινό τρόπο για να αποκτήσετε επιμονή και να αποφύγετε την ανίχνευση. Εδώ έχετε μερικές ιδέες για να κάνετε την παρουσία σας στο AWS πιο stealth δημιουργώντας lambdas.
Κάθε φορά που δημιουργείται ένας νέος χρήστης, η lambda δημιουργεί ένα νέο κλειδί χρήστη και το στέλνει στον επιτιθέμενο.
Κάθε φορά που δημιουργείται ένας νέος ρόλος, η lambda δίνει δικαιώματα ανάληψης ρόλου σε συμβιβασμένους χρήστες.
Κάθε φορά που δημιουργούνται νέα logs cloudtrail, διαγράψτε/τροποποιήστε τα
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
