AWS - Malicious VPC Mirror

공격에 대한 자세한 내용은 https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws 를 확인하세요!

클라우드 환경에서의 수동 네트워크 검사는 어려운 작업으로, 네트워크 트래픽을 모니터링하기 위해 주요 구성 변경이 필요합니다. 그러나 AWS는 이 과정을 단순화하기 위해 “VPC 트래픽 미러링”이라는 새로운 기능을 도입했습니다. VPC 트래픽 미러링을 사용하면 VPC 내의 네트워크 트래픽을 복제할 수 있으며, 인스턴스 자체에 소프트웨어를 설치할 필요가 없습니다. 이 복제된 트래픽은 분석을 위해 네트워크 침입 탐지 시스템(IDS)으로 전송될 수 있습니다.

VPC 트래픽을 미러링하고 유출하기 위한 필요한 인프라의 자동 배포 필요성을 해결하기 위해 “malmirror”라는 개념 증명 스크립트를 개발했습니다. 이 스크립트는 손상된 AWS 자격 증명을 사용하여 대상 VPC의 모든 지원되는 EC2 인스턴스에 대한 미러링을 설정하는 데 사용할 수 있습니다. VPC 트래픽 미러링은 AWS Nitro 시스템으로 구동되는 EC2 인스턴스에서만 지원되며, VPC 미러 타겟은 미러링된 호스트와 동일한 VPC 내에 있어야 합니다.

악의적인 VPC 트래픽 미러링의 영향은 상당할 수 있으며, 이는 공격자가 VPC 내에서 전송되는 민감한 정보에 접근할 수 있게 합니다. 명확한 텍스트 트래픽이 VPC를 통해 흐르고 있는 점을 고려할 때, 이러한 악의적인 미러링의 가능성은 높습니다. 많은 기업들이 성능 이유로 내부 네트워크에서 명확한 텍스트 프로토콜을 사용하며, 전통적인 중간자 공격이 불가능하다고 가정합니다.

자세한 정보와 malmirror 스크립트에 대한 접근은 저희 GitHub 리포지토리에서 확인할 수 있습니다. 이 스크립트는 프로세스를 자동화하고 간소화하여 공격 연구 목적으로 빠르고 간단하며 반복 가능하게 만듭니다.