AWS - EC2 Persistence
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
AWS - EC2, EBS, ELB, SSM, VPC & VPN EnumSe un difensore scopre che un istanza EC2 è stata compromessa, probabilmente cercherà di isolare la rete della macchina. Potrebbe farlo con un esplicito Deny NACL (ma i NACL influenzano l'intera subnet), o cambiando il gruppo di sicurezza per non consentire alcun tipo di traffico in entrata o in uscita.
Se l'attaccante aveva una reverse shell originata dalla macchina, anche se il SG è modificato per non consentire traffico in entrata o in uscita, la connessione non verrà interrotta a causa di Security Group Connection Tracking.
Questo servizio consente di programmare la creazione di AMI e snapshot e persino di condividerli con altri account. Un attaccante potrebbe configurare la generazione di AMI o snapshot di tutte le immagini o di tutti i volumi ogni settimana e condividerli con il suo account.
È possibile programmare le istanze per essere eseguite quotidianamente, settimanalmente o persino mensilmente. Un attaccante potrebbe eseguire una macchina con privilegi elevati o accessi interessanti a cui potrebbe accedere.
Le istanze Spot sono più economiche delle istanze regolari. Un attaccante potrebbe lanciare una piccola richiesta di spot fleet per 5 anni (ad esempio), con assegnazione automatica dell'IP e un user data che invia all'attaccante quando l'istanza spot inizia e l'indirizzo IP e con un ruolo IAM con privilegi elevati.
Un attaccante potrebbe accedere alle istanze e backdoorarle:
Utilizzando un tradizionale rootkit ad esempio
Aggiungendo una nuova chiave SSH pubblica (controlla opzioni di privesc EC2)
Backdooring il User Data
Backdoor l'AMI utilizzata
Backdoor il User Data
Backdoor il Key Pair
Crea una VPN in modo che l'attaccante possa connettersi direttamente attraverso di essa al VPC.
Crea una connessione di peering tra il VPC della vittima e il VPC dell'attaccante in modo che possa accedere al VPC della vittima.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)