AWS - Malicious VPC Mirror
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!
Η παθητική επιθεώρηση δικτύου σε ένα περιβάλλον cloud έχει προβλήματα, απαιτώντας σημαντικές αλλαγές στη διαμόρφωση για την παρακολούθηση της κυκλοφορίας δικτύου. Ωστόσο, μια νέα δυνατότητα που ονομάζεται “VPC Traffic Mirroring” έχει εισαχθεί από την AWS για να απλοποιήσει αυτή τη διαδικασία. Με το VPC Traffic Mirroring, η κυκλοφορία δικτύου εντός των VPC μπορεί να αντιγραφεί χωρίς να εγκατασταθεί κανένα λογισμικό στις ίδιες τις περιπτώσεις. Αυτή η αντιγραμμένη κυκλοφορία μπορεί να σταλεί σε ένα σύστημα ανίχνευσης δικτυακής εισβολής (IDS) για ανάλυση.
Για να καλύψουμε την ανάγκη για αυτοματοποιημένη ανάπτυξη της απαραίτητης υποδομής για την αντανάκλαση και την εξαγωγή της κυκλοφορίας VPC, έχουμε αναπτύξει ένα σενάριο απόδειξης της έννοιας που ονομάζεται “malmirror”. Αυτό το σενάριο μπορεί να χρησιμοποιηθεί με συμβιβασμένα AWS credentials για να ρυθμίσει την αντανάκλαση για όλες τις υποστηριζόμενες περιπτώσεις EC2 σε έναν στόχο VPC. Είναι σημαντικό να σημειωθεί ότι το VPC Traffic Mirroring υποστηρίζεται μόνο από τις περιπτώσεις EC2 που τροφοδοτούνται από το σύστημα AWS Nitro, και ο στόχος της αντανάκλασης VPC πρέπει να βρίσκεται εντός του ίδιου VPC με τους αντανάκλασης hosts.
Η επίδραση της κακόβουλης αντανάκλασης κυκλοφορίας VPC μπορεί να είναι σημαντική, καθώς επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση σε ευαίσθητες πληροφορίες που μεταδίδονται εντός των VPC. Η πιθανότητα μιας τέτοιας κακόβουλης αντανάκλασης είναι υψηλή, δεδομένης της παρουσίας κυκλοφορίας σε καθαρό κείμενο που ρέει μέσω των VPC. Πολλές εταιρείες χρησιμοποιούν πρωτόκολλα σε καθαρό κείμενο εντός των εσωτερικών τους δικτύων για λόγους απόδοσης, υποθέτοντας ότι οι παραδοσιακές επιθέσεις man-in-the-middle δεν είναι δυνατές.
Για περισσότερες πληροφορίες και πρόσβαση στο malmirror script, μπορεί να βρεθεί στο GitHub repository μας. Το σενάριο αυτοματοποιεί και απλοποιεί τη διαδικασία, καθιστώντας την γρήγορη, απλή και επαναλαμβανόμενη για σκοπούς επιθετικής έρευνας.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
