AWS - EC2 Persistence

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Confira os planos de assinatura!
Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.
Compartilhe truques de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud.

EC2

Para mais informações, confira:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Persistência de Rastreamento de Conexão do Grupo de Segurança

Se um defensor descobrir que uma instância EC2 foi comprometida, ele provavelmente tentará isolar a rede da máquina. Ele poderia fazer isso com um Deny NACL explícito (mas os NACLs afetam toda a sub-rede), ou mudando o grupo de segurança para não permitir qualquer tipo de tráfego de entrada ou saída.

Se o atacante tiver uma reverse shell originada da máquina, mesmo que o SG seja modificado para não permitir tráfego de entrada ou saída, a conexão não será encerrada devido ao Rastreamento de Conexão do Grupo de Segurança.

Gerenciador de Ciclo de Vida do EC2

Este serviço permite agendar a criação de AMIs e snapshots e até mesmo compartilhá-los com outras contas. Um atacante poderia configurar a geração de AMIs ou snapshots de todas as imagens ou de todos os volumes toda semana e compartilhá-los com sua conta.

Instâncias Agendadas

É possível agendar instâncias para serem executadas diariamente, semanalmente ou até mensalmente. Um atacante poderia executar uma máquina com altos privilégios ou acesso interessante onde ele poderia acessar.

Solicitação de Spot Fleet

Instâncias Spot são mais baratas do que instâncias regulares. Um atacante poderia lançar uma pequena solicitação de spot fleet por 5 anos (por exemplo), com atribuição automática de IP e um user data que envia para o atacante quando a instância spot iniciar e o endereço IP e com um papel IAM de alto privilégio.