AWS - Malicious VPC Mirror

Consulta https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws para más detalles del ataque!

La inspección pasiva de redes en un entorno de nube ha sido desafiante, requiriendo cambios de configuración importantes para monitorear el tráfico de red. Sin embargo, una nueva característica llamada “Espejo de Tráfico VPC” ha sido introducida por AWS para simplificar este proceso. Con el Espejo de Tráfico VPC, el tráfico de red dentro de las VPCs puede ser duplicado sin instalar ningún software en las instancias mismas. Este tráfico duplicado puede ser enviado a un sistema de detección de intrusiones en la red (IDS) para análisis.

Para abordar la necesidad de despliegue automatizado de la infraestructura necesaria para espejar y exfiltrar el tráfico de VPC, hemos desarrollado un script de prueba de concepto llamado “malmirror”. Este script puede ser utilizado con credenciales de AWS comprometidas para configurar el espejado de todas las instancias EC2 soportadas en una VPC objetivo. Es importante notar que el Espejo de Tráfico VPC solo es soportado por instancias EC2 alimentadas por el sistema AWS Nitro, y el objetivo del espejo VPC debe estar dentro de la misma VPC que los hosts espejados.

El impacto del espejado malicioso de tráfico VPC puede ser significativo, ya que permite a los atacantes acceder a información sensible transmitida dentro de las VPCs. La probabilidad de que tal espejado malicioso ocurra es alta, considerando la presencia de tráfico en texto claro fluyendo a través de las VPCs. Muchas empresas utilizan protocolos en texto claro dentro de sus redes internas por razones de rendimiento, asumiendo que los ataques tradicionales de hombre en el medio no son posibles.

Para más información y acceso al script malmirror, se puede encontrar en nuestro repositorio de GitHub. El script automatiza y agiliza el proceso, haciéndolo rápido, simple y repetible para fines de investigación ofensiva.