AWS - EC2 Persistence
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para mais informações, confira:
Se um defensor descobrir que uma instância EC2 foi comprometida, ele provavelmente tentará isolar a rede da máquina. Ele poderia fazer isso com um Deny NACL explícito (mas NACLs afetam toda a sub-rede), ou mudando o grupo de segurança para não permitir qualquer tipo de tráfego de entrada ou saída.
Se o atacante tiver uma reverse shell originada da máquina, mesmo que o SG seja modificado para não permitir tráfego de entrada ou saída, a conexão não será encerrada devido ao Rastreamento de Conexão do Grupo de Segurança.
Este serviço permite agendar a criação de AMIs e snapshots e até mesmo compartilhá-los com outras contas. Um atacante poderia configurar a geração de AMIs ou snapshots de todas as imagens ou de todos os volumes toda semana e compartilhá-los com sua conta.
É possível agendar instâncias para serem executadas diariamente, semanalmente ou até mensalmente. Um atacante poderia executar uma máquina com altos privilégios ou acesso interessante onde ele poderia acessar.
Instâncias Spot são mais baratas do que instâncias regulares. Um atacante poderia lançar uma pequena solicitação de spot fleet por 5 anos (por exemplo), com atribuição automática de IP e um user data que envia para o atacante quando a instância spot iniciar e o endereço IP e com um papel IAM de alto privilégio.
Um atacante poderia obter acesso às instâncias e backdoor elas:
Usando um rootkit tradicional, por exemplo
Adicionando uma nova chave SSH pública (verifique opções de privesc do EC2)
Backdooring o User Data
Backdoor a AMI utilizada
Backdoor o User Data
Backdoor o Par de Chaves
Crie uma VPN para que o atacante possa se conectar diretamente através dela ao VPC.
Crie uma conexão de peering entre o VPC da vítima e o VPC do atacante para que ele possa acessar o VPC da vítima.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)