AWS - EC2 Persistence

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

EC2

Aby uzyskać więcej informacji, sprawdź:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Śledzenie połączeń grupy zabezpieczeń

Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą wyraźnego Deny NACL (ale NACL wpływa na całą podsieć) lub zmieniając grupę zabezpieczeń, aby nie zezwalać na żaden rodzaj ruchu przychodzącego lub wychodzącego.

Jeśli atakujący miał odwróconą powłokę pochodzącą z maszyny, nawet jeśli SG zostanie zmodyfikowane, aby nie zezwalać na ruch przychodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia połączeń grupy zabezpieczeń.

Menedżer cyklu życia EC2

Ta usługa pozwala na planowanie tworzenia AMI i migawków oraz nawet dzielenie się nimi z innymi kontami. Atakujący mógłby skonfigurować generowanie AMI lub migawków wszystkich obrazów lub wszystkich woluminów co tydzień i dzielić się nimi ze swoim kontem.

Zaplanowane instancje

Możliwe jest zaplanowanie instancji do uruchamiania codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.

Żądanie floty Spot

Instancje Spot są tańsze niż regularne instancje. Atakujący mógłby uruchomić małe żądanie floty Spot na 5 lat (na przykład), z automatycznym przypisaniem IP i danymi użytkownika, które wysyłają do atakującego gdy instancja Spot się uruchomi oraz adres IP i z rolą IAM o wysokich uprawnieniach.