AWS - ECR Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
詳細については、以下を確認してください:
攻撃者は悪意のあるコードを含むDockerイメージをECRリポジトリにアップロードし、ターゲットのAWSアカウントで持続性を維持するために使用することができます。攻撃者は、その後、Amazon ECSやEKSなどのアカウント内のさまざまなサービスに悪意のあるイメージをステルス方式でデプロイすることができます。
自分自身(または全員)にリポジトリへのアクセスを付与するポリシーを単一のリポジトリに追加します:
ECRは、ユーザーがレジストリに認証し、任意のAmazon ECRリポジトリから画像をプッシュまたはプルする前に、IAMポリシーを通じて**ecr:GetAuthorizationToken
** APIを呼び出す権限を持っている必要があることに注意してください。
クロスアカウントレプリケーションを設定することで、外部アカウントにレジストリを自動的にレプリケートすることが可能です。ここでは、レジストリをレプリケートしたい外部アカウントを指定する必要があります。
まず、外部アカウントにレジストリへのアクセスを与えるために、次のようなレジストリポリシーを設定する必要があります:
次に、レプリケーション設定を適用します:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)