AWS - Malicious VPC Mirror

攻撃の詳細については、https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-awsを確認してください！

クラウド環境におけるパッシブネットワーク検査は困難であり、ネットワークトラフィックを監視するために大規模な構成変更が必要です。しかし、AWSによって「VPCトラフィックミラーリング」という新機能が導入され、このプロセスが簡素化されました。VPCトラフィックミラーリングを使用すると、VPC内のネットワークトラフィックを複製でき、インスタンス自体にソフトウェアをインストールする必要がありません。この複製されたトラフィックは、ネットワーク侵入検知システム（IDS）に送信して分析できます。

VPCトラフィックをミラーリングおよび抽出するために必要なインフラの自動デプロイメントのニーズに対応するために、「malmirror」という概念実証スクリプトを開発しました。このスクリプトは、侵害されたAWS資格情報を使用して、ターゲットVPC内のすべてのサポートされているEC2インスタンスのミラーリングを設定するために使用できます。VPCトラフィックミラーリングは、AWS Nitroシステムによって動作するEC2インスタンスのみでサポートされており、VPCミラーターゲットはミラーリングされたホストと同じVPC内でなければなりません。

悪意のあるVPCトラフィックミラーリングの影響は重大であり、攻撃者がVPC内で送信される機密情報にアクセスできるようになります。このような悪意のあるミラーリングの可能性は高く、VPC内を流れる平文トラフィックの存在を考慮すると、特にそうです。多くの企業は、パフォーマンスの理由から内部ネットワーク内で平文プロトコルを使用しており、従来の中間者攻撃が不可能であると仮定しています。

詳細情報およびmalmirrorスクリプトへのアクセスは、私たちのGitHubリポジトリで見つけることができます。このスクリプトはプロセスを自動化し、効率化し、攻撃的な研究目的のために迅速、簡単、かつ繰り返し可能にします。