AWS - Malicious VPC Mirror

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

La inspección pasiva de redes en un entorno de nube ha sido desafiante, requiriendo cambios de configuración importantes para monitorear el tráfico de red. Sin embargo, AWS ha introducido una nueva función llamada “VPC Traffic Mirroring” para simplificar este proceso. Con VPC Traffic Mirroring, el tráfico de red dentro de las VPC puede ser duplicado sin instalar ningún software en las instancias mismas. Este tráfico duplicado puede ser enviado a un sistema de detección de intrusiones en la red (IDS) para análisis.

Para abordar la necesidad de despliegue automatizado de la infraestructura necesaria para la duplicación y exfiltración del tráfico de VPC, hemos desarrollado un script de prueba de concepto llamado “malmirror”. Este script puede ser utilizado con credenciales de AWS comprometidas para configurar la duplicación para todas las instancias EC2 soportadas en una VPC objetivo. Es importante notar que VPC Traffic Mirroring solo es soportado por instancias EC2 alimentadas por el sistema AWS Nitro, y el objetivo del espejo VPC debe estar dentro de la misma VPC que los hosts duplicados.

El impacto de la duplicación maliciosa del tráfico de VPC puede ser significativo, ya que permite a los atacantes acceder a información sensible transmitida dentro de las VPC. La probabilidad de que tal duplicación maliciosa ocurra es alta, considerando la presencia de tráfico en texto claro fluyendo a través de las VPC. Muchas empresas utilizan protocolos en texto claro dentro de sus redes internas por razones de rendimiento, asumiendo que los ataques tradicionales de hombre en el medio no son posibles.

Para más información y acceso al script malmirror, se puede encontrar en nuestro repositorio de GitHub. El script automatiza y agiliza el proceso, haciéndolo rápido, simple y repetible para fines de investigación ofensiva.