AWS - EC2 Persistence
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
詳細については、次を確認してください:
防御者がEC2インスタンスが侵害されたことを発見した場合、彼はおそらくネットワークを隔離しようとするでしょう。彼は明示的なDeny NACLを使用するか(ただし、NACLはサブネット全体に影響します)、セキュリティグループを変更して、いかなる種類のインバウンドまたはアウトバウンドトラフィックも許可しないようにすることができます。
攻撃者がマシンから発生したリバースシェルを持っている場合、SGがインバウンドまたはアウトバウンドトラフィックを許可しないように変更されても、接続はセキュリティグループ接続追跡のために切断されません。
このサービスはAMIとスナップショットの作成をスケジュールし、他のアカウントと共有することを可能にします。 攻撃者はすべてのイメージまたはすべてのボリュームのAMIまたはスナップショットの生成を毎週スケジュールし、自分のアカウントと共有することができます。
インスタンスを毎日、毎週、または毎月実行するようにスケジュールすることが可能です。攻撃者は高い権限または興味深いアクセスを持つマシンを実行することができます。
スポットインスタンスは通常のインスタンスよりも安価です。攻撃者は5年間の小さなスポットフリートリクエストを(例えば)自動IP割り当てと、スポットインスタンスが開始されたときに攻撃者に送信するユーザーデータを持つ高権限のIAMロール**を使用して起動することができます。
攻撃者はインスタンスにアクセスし、バックドアを仕掛けることができます:
例えば、従来のルートキットを使用する
新しい公開SSHキーを追加する(EC2特権昇格オプションを確認)
ユーザーデータにバックドアを仕掛ける
使用されるAMIにバックドアを仕掛ける
ユーザーデータにバックドアを仕掛ける
キーペアにバックドアを仕掛ける
攻撃者がVPCに直接接続できるようにVPNを作成します。
被害者のVPCと攻撃者のVPCの間にピアリング接続を作成し、攻撃者が被害者のVPCにアクセスできるようにします。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)