AWS - EC2 Persistence
EC2
자세한 정보는 다음을 확인하세요:
Security Group Connection Tracking Persistence
수비수가 EC2 인스턴스가 침해되었다고 판단하면, 그는 아마도 네트워크를 격리하려고 할 것입니다. 그는 명시적인 Deny NACL을 사용하거나 (하지만 NACL은 전체 서브넷에 영향을 미침), 보안 그룹을 변경하여 모든 종류의 인바운드 또는 아웃바운드 트래픽을 허용하지 않을 수 있습니다.
공격자가 기계에서 발생한 리버스 셸을 가지고 있었다면, SG가 인바운드 또는 아웃바운드 트래픽을 허용하지 않도록 수정되더라도, 연결은 Security Group Connection Tracking로 인해 종료되지 않을 것입니다.
EC2 Lifecycle Manager
이 서비스는 AMI 및 스냅샷의 생성을 예약하고 심지어 다른 계정과 공유할 수 있게 해줍니다. 공격자는 모든 이미지 또는 모든 볼륨의 AMI 또는 스냅샷 생성을 매주 구성하고 자신의 계정과 공유할 수 있습니다.
Scheduled Instances
인스턴스를 매일, 매주 또는 심지어 매월 실행하도록 예약할 수 있습니다. 공격자는 높은 권한이나 흥미로운 접근이 가능한 기계를 실행할 수 있습니다.
Spot Fleet Request
스팟 인스턴스는 정규 인스턴스보다 저렴합니다. 공격자는 5년 동안의 작은 스팟 플릿 요청을 시작할 수 있으며 (예를 들어), 자동 IP 할당과 함께 스팟 인스턴스가 시작될 때 공격자에게 전송되는 사용자 데이터와 높은 권한의 IAM 역할을 설정할 수 있습니다.
Backdoor Instances
공격자는 인스턴스에 접근하여 백도어를 설치할 수 있습니다:
전통적인 루트킷 사용 예
새로운 공개 SSH 키 추가 (check EC2 privesc options)
사용자 데이터에 백도어 추가
Backdoor Launch Configuration
사용된 AMI에 백도어 추가
사용자 데이터에 백도어 추가
키 페어에 백도어 추가
VPN
VPN을 생성하여 공격자가 VPC에 직접 연결할 수 있도록 합니다.
VPC Peering
피해자 VPC와 공격자 VPC 간의 피어링 연결을 생성하여 공격자가 피해자 VPC에 접근할 수 있도록 합니다.
Last updated
