AWS - EC2 Persistence

Support HackTricks

EC2

Para más información consulta:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Persistencia de Seguimiento de Conexiones del Grupo de Seguridad

Si un defensor descubre que una instancia de EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Podría hacer esto con un Deny NACL explícito (pero los NACL afectan a toda la subred), o cambiando el grupo de seguridad para no permitir ningún tipo de tráfico entrante o saliente.

Si el atacante tenía un reverse shell originado desde la máquina, incluso si el SG se modifica para no permitir tráfico entrante o saliente, la conexión no será cerrada debido a Security Group Connection Tracking.

Administrador del Ciclo de Vida de EC2

Este servicio permite programar la creación de AMIs y snapshots e incluso compartirlos con otras cuentas. Un atacante podría configurar la generación de AMIs o snapshots de todas las imágenes o todos los volúmenes cada semana y compartirlos con su cuenta.

Instancias Programadas

Es posible programar instancias para que se ejecuten diariamente, semanalmente o incluso mensualmente. Un atacante podría ejecutar una máquina con altos privilegios o acceso interesante donde podría acceder.

Solicitud de Flota Spot

Las instancias Spot son más baratas que las instancias regulares. Un atacante podría lanzar una pequeña solicitud de flota spot por 5 años (por ejemplo), con asignación automática de IP y un user data que envía al atacante cuando la instancia spot inicia y la dirección IP y con un rol IAM de alto privilegio.

Instancias de Puerta Trasera

Un atacante podría obtener acceso a las instancias y ponerles una puerta trasera:

  • Usando un rootkit tradicional, por ejemplo

  • Agregando una nueva clave SSH pública (consulta opciones de privesc de EC2)

  • Poniendo una puerta trasera en el User Data

Configuración de Lanzamiento de Puerta Trasera

  • Poner una puerta trasera en la AMI utilizada

  • Poner una puerta trasera en el User Data

  • Poner una puerta trasera en el Par de Claves

VPN

Crear una VPN para que el atacante pueda conectarse directamente a través de ella a la VPC.

Peering de VPC

Crear una conexión de peering entre la VPC de la víctima y la VPC del atacante para que pueda acceder a la VPC de la víctima.

Support HackTricks

Last updated