Last updated
Για περισσότερες πληροφορίες ελέγξτε:
Εάν ένας υπερασπιστής ανακαλύψει ότι ένα EC2 instance έχει παραβιαστεί, πιθανότατα θα προσπαθήσει να απομονώσει το δίκτυο της μηχανής. Μπορεί να το κάνει με ένα Deny NACL (αλλά τα NACL επηρεάζουν ολόκληρο το subnet), ή αλλάζοντας την ομάδα ασφαλείας χωρίς να επιτρέπει καμία είσοδο ή έξοδο κίνησης.
Εάν ο επιτιθέμενος είχε ένα αντίστροφο κέλυφος προερχόμενο από τη μηχανή, ακόμα κι αν η ομάδα ασφαλείας τροποποιηθεί για να μην επιτρέπει εισερχόμενη ή εξερχόμενη κίνηση, η σύνδεση δεν θα τερματιστεί λόγω Καταγραφής Συνδέσεων Ομάδας Ασφαλείας.
Αυτή η υπηρεσία επιτρέπει το προγραμματισμό της δημιουργίας AMIs και αντιγράφων ασφαλείας και ακόμα και το κοινή χρήση τους με άλλους λογαριασμούς. Ένας επιτιθέμενος θα μπορούσε να ρυθμίσει τη δημιουργία AMIs ή αντιγράφων ασφαλείας όλων των εικόνων ή όλων των όγκων κάθε εβδομάδα και να τα μοιραστεί με τον λογαριασμό του.
Είναι δυνατόν να προγραμματίσετε εικόνες για να τρέχουν καθημερινά, εβδομαδιαία ή ακόμα και μηνιαία. Ένας επιτιθέμενος θα μπορούσε να τρέξει μια μηχανή με υψηλά προνόμια ή ενδιαφέρουσα πρόσβαση όπου θα μπορούσε να έχει πρόσβαση.
Οι spot instances είναι φθηνότερες από τις κανονικές instances. Ένας επιτιθέμενος θα μπορούσε να ξεκινήσει μια μικρή αίτηση spot fleet για 5 χρόνια (για παράδειγμα), με αυτόματη ανάθεση IP και δεδομένα χρήστη που στέλνονται στον επιτιθέμενο όταν ξεκινά η spot instance και τη διεύθυνση IP και με ένα υψηλόπρεπο ρόλο IAM.
Ένας επιτιθέμενος θα μπορούσε να αποκτήσει πρόσβαση στις εικόνες και να τις προσβάλει:
Χρησιμοποιώντας ένα παραδοσιακό rootkit για παράδειγμα
Προσθέτοντας ένα νέο δημόσιο κλειδί SSH (ελέγξτε τις επιλογές προνομιούχου προαγωγής EC2)
Προσβολή των Δεδομένων Χρήστη
Πίσω Πόρτα της χρησιμοποιούμενης AMI
Πίσω Πόρτα των Δεδομένων Χρήστη
Πίσω Πόρτα του Ζεύγους Κλειδιών
Δημιουργήστε ένα VPN έτσι ώστε ο επιτιθέμενος να μπορεί να συνδεθεί απευθείας μέσω αυτού στο VPC.
Δημιουργήστε μια σύνδεση peering μεταξύ του VPC τ
