AWS - EC2 Persistence
EC2
Para más información consulta:
AWS - EC2, EBS, ELB, SSM, VPC & VPN EnumPersistencia de Seguimiento de Conexiones del Grupo de Seguridad
Si un defensor descubre que una instancia de EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Podría hacer esto con un Deny NACL explícito (pero los NACL afectan a toda la subred), o cambiando el grupo de seguridad para no permitir ningún tipo de tráfico entrante o saliente.
Si el atacante tenía un reverse shell originado desde la máquina, incluso si el SG se modifica para no permitir tráfico entrante o saliente, la conexión no será cerrada debido a Security Group Connection Tracking.
Administrador del Ciclo de Vida de EC2
Este servicio permite programar la creación de AMIs y snapshots e incluso compartirlos con otras cuentas. Un atacante podría configurar la generación de AMIs o snapshots de todas las imágenes o todos los volúmenes cada semana y compartirlos con su cuenta.
Instancias Programadas
Es posible programar instancias para que se ejecuten diariamente, semanalmente o incluso mensualmente. Un atacante podría ejecutar una máquina con altos privilegios o acceso interesante donde podría acceder.
Solicitud de Flota Spot
Las instancias Spot son más baratas que las instancias regulares. Un atacante podría lanzar una pequeña solicitud de flota spot por 5 años (por ejemplo), con asignación automática de IP y un user data que envía al atacante cuando la instancia spot inicia y la dirección IP y con un rol IAM de alto privilegio.
Instancias de Puerta Trasera
Un atacante podría obtener acceso a las instancias y ponerles una puerta trasera:
Usando un rootkit tradicional, por ejemplo
Agregando una nueva clave SSH pública (consulta opciones de privesc de EC2)
Poniendo una puerta trasera en el User Data
Configuración de Lanzamiento de Puerta Trasera
Poner una puerta trasera en la AMI utilizada
Poner una puerta trasera en el User Data
Poner una puerta trasera en el Par de Claves
VPN
Crear una VPN para que el atacante pueda conectarse directamente a través de ella a la VPC.
Peering de VPC
Crear una conexión de peering entre la VPC de la víctima y la VPC del atacante para que pueda acceder a la VPC de la víctima.
Last updated