AWS - Malicious VPC Mirror
Last updated
Last updated
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Controlla https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws per ulteriori dettagli sull'attacco!
L'ispezione passiva della rete in un ambiente cloud è stata sfidante, richiedendo importanti modifiche di configurazione per monitorare il traffico di rete. Tuttavia, una nuova funzionalità chiamata “VPC Traffic Mirroring” è stata introdotta da AWS per semplificare questo processo. Con VPC Traffic Mirroring, il traffico di rete all'interno delle VPC può essere duplicato senza installare alcun software sulle istanze stesse. Questo traffico duplicato può essere inviato a un sistema di rilevamento delle intrusioni di rete (IDS) per analisi.
Per affrontare la necessità di distribuzione automatizzata dell'infrastruttura necessaria per il mirroring e l'exfiltrazione del traffico VPC, abbiamo sviluppato uno script di proof-of-concept chiamato “malmirror”. Questo script può essere utilizzato con credenziali AWS compromesse per impostare il mirroring per tutte le istanze EC2 supportate in una VPC target. È importante notare che il VPC Traffic Mirroring è supportato solo dalle istanze EC2 alimentate dal sistema AWS Nitro, e il target del mirror VPC deve trovarsi all'interno della stessa VPC degli host mirrorati.
L'impatto del mirroring del traffico VPC malevolo può essere significativo, poiché consente agli attaccanti di accedere a informazioni sensibili trasmesse all'interno delle VPC. La probabilità di tale mirroring malevolo è alta, considerando la presenza di traffico in chiaro che scorre attraverso le VPC. Molte aziende utilizzano protocolli in chiaro all'interno delle loro reti interne per ragioni di prestazioni, assumendo che gli attacchi tradizionali man-in-the-middle non siano possibili.
Per ulteriori informazioni e accesso allo script malmirror, può essere trovato nel nostro repository GitHub. Lo script automatizza e semplifica il processo, rendendolo rapido, semplice e ripetibile per scopi di ricerca offensiva.
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)