AWS - EC2 Persistence

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

EC2

Aby uzyskać więcej informacji, sprawdź:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Śledzenie połączeń grupy zabezpieczeń

Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą wyraźnego Deny NACL (ale NACL wpływa na całą podsieć) lub zmieniając grupę zabezpieczeń, aby nie zezwalać na żaden rodzaj ruchu przychodzącego lub wychodzącego.

Jeśli atakujący miał odwróconą powłokę pochodzącą z maszyny, nawet jeśli SG zostanie zmodyfikowane, aby nie zezwalać na ruch przychodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia połączeń grupy zabezpieczeń.

Menedżer cyklu życia EC2

Ta usługa pozwala na planowanie tworzenia AMI i migawków oraz nawet dzielenie się nimi z innymi kontami. Atakujący mógłby skonfigurować generowanie AMI lub migawków wszystkich obrazów lub wszystkich woluminów co tydzień i dzielić się nimi ze swoim kontem.

Zaplanowane instancje

Możliwe jest zaplanowanie instancji do uruchamiania codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.

Żądanie floty Spot

Instancje Spot są tańsze niż regularne instancje. Atakujący mógłby uruchomić małe żądanie floty Spot na 5 lat (na przykład), z automatycznym przypisaniem IP i danymi użytkownika, które wysyłają do atakującego gdy instancja Spot się uruchomi oraz adres IP i z rolą IAM o wysokich uprawnieniach.

Instancje z tylnym wejściem

Atakujący mógłby uzyskać dostęp do instancji i wprowadzić do nich tylne wejście:

Używając tradycyjnego rootkita, na przykład
Dodając nowy publiczny klucz SSH (sprawdź opcje privesc EC2)
Wprowadzając tylne wejście do Danych Użytkownika

Konfiguracja uruchamiania z tylnym wejściem

Wprowadzenie tylnego wejścia do używanego AMI
Wprowadzenie tylnego wejścia do Danych Użytkownika
Wprowadzenie tylnego wejścia do pary kluczy

VPN

Utwórz VPN, aby atakujący mógł połączyć się bezpośrednio przez nią z VPC.

Peering VPC

Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, aby mógł uzyskać dostęp do VPC ofiary.

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 8 days ago