AWS - ECS Post Exploitation

ECS

詳細については、以下を確認してください：

ホストIAMロール

ECSでは、IAMロールはコンテナ内で実行されているタスクに割り当てることができます。もしタスクがEC2インスタンス内で実行されている場合、EC2インスタンスには別のIAMロールが付与されます。 つまり、ECSインスタンスを侵害することができれば、ECRおよびEC2インスタンスに関連付けられたIAMロールを取得する可能性があります。これらの資格情報を取得する方法についての詳細は、以下を確認してください：

Cloud SSRFHackTricks

ノードへの特権昇格と他のコンテナの資格情報と秘密の盗難

さらに、EC2はECタスクを実行するためにDockerを使用しているため、ノードにエスケープするか、Dockerソケットにアクセスできれば、他のコンテナが実行されているかどうかを確認でき、さらにはそれらの中に入って、付与されたIAMロールを盗むことができます。

現在のホストでコンテナを実行する

さらに、EC2インスタンスロールは通常、クラスター内のノードとして使用されているEC2インスタンスのコンテナインスタンスの状態を更新するのに十分な権限を持っています。攻撃者はインスタンスの状態をDRAININGに変更することができ、その後ECSはすべてのタスクを削除し、REPLICAとして実行されているものは別のインスタンスで実行されるため、攻撃者のインスタンス内で実行される可能性があり、彼はそれらのIAMロールを盗むことができ、コンテナ内の潜在的な機密情報を取得することができます。

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

同じ技術はクラスターからEC2インスタンスを登録解除することによって行うことができます。これは潜在的にあまり隠密ではありませんが、タスクを他のインスタンスで実行させることを強制します:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

タスクの再実行を強制するための最終的な手法は、ECSにタスクまたはコンテナが停止したことを示すことです。これを行うための3つの潜在的なAPIがあります：

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

ECRコンテナからの機密情報の盗難

EC2インスタンスは、おそらくecr:GetAuthorizationTokenの権限を持っており、イメージをダウンロードすることができます（その中に機密情報を探すことができます）。