AWS - Malicious VPC Mirror

Consultez https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws pour plus de détails sur l'attaque !

L'inspection passive du réseau dans un environnement cloud a été difficile, nécessitant des changements de configuration majeurs pour surveiller le trafic réseau. Cependant, une nouvelle fonctionnalité appelée “VPC Traffic Mirroring” a été introduite par AWS pour simplifier ce processus. Avec le VPC Traffic Mirroring, le trafic réseau au sein des VPC peut être dupliqué sans installer de logiciel sur les instances elles-mêmes. Ce trafic dupliqué peut être envoyé à un système de détection d'intrusion réseau (IDS) pour analyse.

Pour répondre au besoin de déploiement automatisé de l'infrastructure nécessaire pour le mirroring et l'exfiltration du trafic VPC, nous avons développé un script de preuve de concept appelé “malmirror”. Ce script peut être utilisé avec des identifiants AWS compromis pour configurer le mirroring pour toutes les instances EC2 prises en charge dans un VPC cible. Il est important de noter que le VPC Traffic Mirroring n'est pris en charge que par les instances EC2 alimentées par le système AWS Nitro, et la cible de miroir VPC doit être dans le même VPC que les hôtes miroités.

L'impact du mirroring de trafic VPC malveillant peut être significatif, car il permet aux attaquants d'accéder à des informations sensibles transmises au sein des VPC. La probabilité d'un tel mirroring malveillant est élevée, compte tenu de la présence de trafic en clair circulant à travers les VPC. De nombreuses entreprises utilisent des protocoles en clair au sein de leurs réseaux internes pour des raisons de performance, supposant que les attaques traditionnelles de type homme du milieu ne sont pas possibles.

Pour plus d'informations et l'accès au script malmirror, il peut être trouvé sur notre dépôt GitHub. Le script automatise et rationalise le processus, le rendant rapide, simple et répétable à des fins de recherche offensive.