AWS - EC2 Persistence

Wsparcie dla HackTricks

EC2

Aby uzyskać więcej informacji, sprawdź:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Śledzenie połączeń grupy zabezpieczeń

Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą wyraźnego Deny NACL (ale NACL wpływa na całą podsieć) lub zmieniając grupę zabezpieczeń, aby nie zezwalać na żaden rodzaj ruchu przychodzącego lub wychodzącego.

Jeśli atakujący miał odwróconą powłokę pochodzącą z maszyny, nawet jeśli SG zostanie zmodyfikowane, aby nie zezwalać na ruch przychodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia połączeń grupy zabezpieczeń.

Menedżer cyklu życia EC2

Ta usługa pozwala na planowanie tworzenia AMI i migawków oraz nawet dzielenie się nimi z innymi kontami. Atakujący mógłby skonfigurować generowanie AMI lub migawków wszystkich obrazów lub wszystkich woluminów co tydzień i dzielić się nimi ze swoim kontem.

Zaplanowane instancje

Możliwe jest zaplanowanie instancji do uruchamiania codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.

Żądanie floty Spot

Instancje Spot są tańsze niż regularne instancje. Atakujący mógłby uruchomić małe żądanie floty Spot na 5 lat (na przykład), z automatycznym przypisaniem IP i danymi użytkownika, które wysyłają do atakującego gdy instancja Spot się uruchomi oraz adres IP i z rolą IAM o wysokich uprawnieniach.

Instancje z tylnymi drzwiami

Atakujący mógłby uzyskać dostęp do instancji i wprowadzić do nich tylne drzwi:

  • Używając tradycyjnego rootkita, na przykład

  • Dodając nowy publiczny klucz SSH (sprawdź opcje privesc EC2)

  • Wprowadzając tylne drzwi do Danych Użytkownika

Konfiguracja uruchamiania z tylnymi drzwiami

  • Wprowadzenie tylnych drzwi do używanego AMI

  • Wprowadzenie tylnych drzwi do Danych Użytkownika

  • Wprowadzenie tylnych drzwi do pary kluczy

VPN

Utwórz VPN, aby atakujący mógł połączyć się bezpośrednio przez nią z VPC.

Peering VPC

Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, aby mógł uzyskać dostęp do VPC ofiary.

Wsparcie dla HackTricks

Last updated