AWS - EC2 Persistence
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para más información consulta:
AWS - EC2, EBS, ELB, SSM, VPC & VPN EnumSi un defensor descubre que una instancia de EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Podría hacer esto con un Deny NACL explícito (pero los NACL afectan a toda la subred), o cambiando el grupo de seguridad para no permitir ningún tipo de tráfico entrante o saliente.
Si el atacante tenía un reverse shell originado desde la máquina, incluso si el SG se modifica para no permitir tráfico entrante o saliente, la conexión no será cerrada debido a Security Group Connection Tracking.
Este servicio permite programar la creación de AMIs y snapshots e incluso compartirlos con otras cuentas. Un atacante podría configurar la generación de AMIs o snapshots de todas las imágenes o todos los volúmenes cada semana y compartirlos con su cuenta.
Es posible programar instancias para que se ejecuten diariamente, semanalmente o incluso mensualmente. Un atacante podría ejecutar una máquina con altos privilegios o acceso interesante donde podría acceder.
Las instancias Spot son más baratas que las instancias regulares. Un atacante podría lanzar una pequeña solicitud de flota spot por 5 años (por ejemplo), con asignación automática de IP y un user data que envía al atacante cuando la instancia spot inicie y la dirección IP y con un rol IAM de alto privilegio.
Un atacante podría obtener acceso a las instancias y ponerles una puerta trasera:
Usando un rootkit tradicional, por ejemplo
Agregando una nueva clave SSH pública (consulta opciones de privesc de EC2)
Poniendo una puerta trasera en el User Data
Poner una puerta trasera en el AMI utilizado
Poner una puerta trasera en el User Data
Poner una puerta trasera en el Par de Claves
Crea una VPN para que el atacante pueda conectarse directamente a través de ella a la VPC.
Crea una conexión de peering entre la VPC de la víctima y la VPC del atacante para que pueda acceder a la VPC de la víctima.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)