AWS - EC2 Persistence

EC2

詳細については、以下を確認してください：

セキュリティグループ接続追跡の持続性

防御者がEC2インスタンスが侵害されたことを発見した場合、彼はおそらくネットワークを隔離しようとするでしょう。彼は明示的なDeny NACLを使用するか（ただし、NACLはサブネット全体に影響します）、セキュリティグループを変更して、いかなる種類のインバウンドまたはアウトバウンドトラフィックも許可しないようにすることができます。

攻撃者がマシンから発生したリバースシェルを持っている場合、SGがインバウンドまたはアウトバウンドトラフィックを許可しないように変更されても、接続はセキュリティグループ接続追跡のために切断されません。

EC2ライフサイクルマネージャー

このサービスは、AMIやスナップショットの作成をスケジュールし、他のアカウントと共有することを可能にします。 攻撃者は、すべてのイメージまたはすべてのボリュームのAMIまたはスナップショットの生成を毎週設定し、自分のアカウントと共有することができます。

スケジュールされたインスタンス

インスタンスを毎日、毎週、または毎月実行するようにスケジュールすることが可能です。攻撃者は、高い権限または興味深いアクセスを持つマシンを実行することができます。

スポットフリートリクエスト

スポットインスタンスは通常のインスタンスよりも安価です。攻撃者は、自動IP割り当てと、スポットインスタンスが起動したときに攻撃者に送信するユーザーデータを持つ5年間の小さなスポットフリートリクエストを起動することができます。

バックドアインスタンス

攻撃者はインスタンスにアクセスし、バックドアを仕掛けることができます：

• 例えば、従来のルートキットを使用する

• 新しい公開SSHキーを追加する（EC2特権昇格オプションを確認）

• ユーザーデータにバックドアを仕掛ける

バックドア起動構成

• 使用されるAMIにバックドアを仕掛ける

• ユーザーデータにバックドアを仕掛ける

• キーペアにバックドアを仕掛ける

VPN

攻撃者がVPCに直接接続できるようにVPNを作成します。

VPCピアリング

被害者のVPCと攻撃者のVPCの間にピアリング接続を作成し、攻撃者が被害者のVPCにアクセスできるようにします。