AWS - EC2 Persistence
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Aby uzyskać więcej informacji, sprawdź:
Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą wyraźnego Deny NACL (ale NACL wpływa na całą podsieć) lub zmieniając grupę zabezpieczeń, aby nie zezwalać na żaden rodzaj ruchu przychodzącego lub wychodzącego.
Jeśli atakujący miał odwróconą powłokę pochodzącą z maszyny, nawet jeśli SG zostanie zmodyfikowane, aby nie zezwalać na ruch przychodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia połączeń grupy zabezpieczeń.
Ta usługa pozwala na planowanie tworzenia AMI i migawków oraz nawet dzielenie się nimi z innymi kontami. Atakujący mógłby skonfigurować generowanie AMI lub migawków wszystkich obrazów lub wszystkich woluminów co tydzień i dzielić się nimi ze swoim kontem.
Możliwe jest zaplanowanie instancji do uruchamiania codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.
Instancje Spot są tańsze niż regularne instancje. Atakujący mógłby uruchomić małe żądanie floty Spot na 5 lat (na przykład), z automatycznym przypisaniem IP i danymi użytkownika, które wysyłają do atakującego gdy instancja Spot się uruchomi oraz adres IP i z rolą IAM o wysokich uprawnieniach.
Atakujący mógłby uzyskać dostęp do instancji i wprowadzić do nich tylne wejście:
Używając tradycyjnego rootkita, na przykład
Dodając nowy publiczny klucz SSH (sprawdź opcje privesc EC2)
Wprowadzając tylne wejście do Danych Użytkownika
Wprowadzenie tylnego wejścia do używanego AMI
Wprowadzenie tylnego wejścia do Danych Użytkownika
Wprowadzenie tylnego wejścia do pary kluczy
Utwórz VPN, aby atakujący mógł połączyć się bezpośrednio przez nią z VPC.
Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, aby mógł uzyskać dostęp do VPC ofiary.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)