AWS - Malicious VPC Mirror

Sprawdź https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws po więcej szczegółów ataku!

Pasywna inspekcja sieci w środowisku chmurowym była wyzwaniem, wymagającym dużych zmian konfiguracyjnych w celu monitorowania ruchu sieciowego. Jednak nowa funkcja zwana “Lustro Ruchu VPC” została wprowadzona przez AWS, aby uprościć ten proces. Dzięki Lustru Ruchu VPC, ruch sieciowy w VPC może być duplikowany bez instalowania jakiegokolwiek oprogramowania na samych instancjach. Ten zduplikowany ruch może być wysyłany do systemu wykrywania intruzów w sieci (IDS) w celu analizy.

Aby zaspokoić potrzebę automatyzacji wdrożenia niezbędnej infrastruktury do lustrowania i eksfiltracji ruchu VPC, opracowaliśmy skrypt proof-of-concept o nazwie “malmirror”. Skrypt ten może być używany z skompromentowanymi poświadczeniami AWS do skonfigurowania lustrowania dla wszystkich obsługiwanych instancji EC2 w docelowym VPC. Ważne jest, aby zauważyć, że Lustro Ruchu VPC jest obsługiwane tylko przez instancje EC2 zasilane systemem AWS Nitro, a cel lustra VPC musi znajdować się w tym samym VPC co lustrowane hosty.

Wpływ złośliwego lustrowania ruchu VPC może być znaczący, ponieważ pozwala atakującym na dostęp do wrażliwych informacji przesyłanych w VPC. Prawdopodobieństwo takiego złośliwego lustrowania jest wysokie, biorąc pod uwagę obecność ruchu w postaci czystego tekstu przepływającego przez VPC. Wiele firm używa protokołów w postaci czystego tekstu w swoich sieciach wewnętrznych z powodów wydajnościowych, zakładając, że tradycyjne ataki typu man-in-the-middle nie są możliwe.

Aby uzyskać więcej informacji i dostęp do skryptu malmirror, można go znaleźć w naszym repozytorium GitHub. Skrypt automatyzuje i upraszcza proces, czyniąc go szybkim, prostym i powtarzalnym w celach badawczych ofensywnych.