AWS - Malicious VPC Mirror

Sprawdź https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws po więcej szczegółów ataku!

Pasywna inspekcja sieci w środowisku chmurowym była wyzwaniem, wymagającym dużych zmian konfiguracyjnych w celu monitorowania ruchu sieciowego. Jednak nowa funkcja o nazwie “VPC Traffic Mirroring” została wprowadzona przez AWS, aby uprościć ten proces. Dzięki VPC Traffic Mirroring ruch sieciowy w VPC może być duplikowany bez instalowania jakiegokolwiek oprogramowania na samych instancjach. Ten zduplikowany ruch może być wysyłany do systemu wykrywania intruzów w sieci (IDS) w celu analizy.

Aby zaspokoić potrzebę automatyzacji wdrożenia niezbędnej infrastruktury do mirroringu i eksfiltracji ruchu VPC, opracowaliśmy skrypt proof-of-concept o nazwie “malmirror”. Skrypt ten może być używany z skompromentowanymi poświadczeniami AWS do skonfigurowania mirroringu dla wszystkich obsługiwanych instancji EC2 w docelowym VPC. Ważne jest, aby zauważyć, że VPC Traffic Mirroring jest obsługiwany tylko przez instancje EC2 zasilane systemem AWS Nitro, a cel lustra VPC musi znajdować się w tym samym VPC co lustrowane hosty.

Wpływ złośliwego mirroringu ruchu VPC może być znaczący, ponieważ pozwala atakującym na dostęp do wrażliwych informacji przesyłanych w VPC. Prawdopodobieństwo takiego złośliwego mirroringu jest wysokie, biorąc pod uwagę obecność ruchu w postaci czystego tekstu przepływającego przez VPC. Wiele firm używa protokołów w postaci czystego tekstu w swoich sieciach wewnętrznych z powodów wydajnościowych, zakładając, że tradycyjne ataki typu man-in-the-middle nie są możliwe.

Aby uzyskać więcej informacji i dostęp do skryptu malmirror, można go znaleźć w naszym repozytorium GitHub. Skrypt automatyzuje i upraszcza proces, czyniąc go szybkim, prostym i powtarzalnym w celach badawczych ofensywnych.