AWS - Malicious VPC Mirror

Verifique https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws para mais detalhes do ataque!

A inspeção passiva de rede em um ambiente de nuvem tem sido desafiadora, exigindo grandes mudanças de configuração para monitorar o tráfego de rede. No entanto, um novo recurso chamado “VPC Traffic Mirroring” foi introduzido pela AWS para simplificar esse processo. Com o VPC Traffic Mirroring, o tráfego de rede dentro das VPCs pode ser duplicado sem instalar nenhum software nas instâncias. Esse tráfego duplicado pode ser enviado para um sistema de detecção de intrusões de rede (IDS) para análise.

Para atender à necessidade de implantação automatizada da infraestrutura necessária para espelhar e exfiltrar o tráfego da VPC, desenvolvemos um script de prova de conceito chamado “malmirror”. Este script pode ser usado com credenciais AWS comprometidas para configurar o espelhamento para todas as instâncias EC2 suportadas em uma VPC alvo. É importante notar que o VPC Traffic Mirroring é suportado apenas por instâncias EC2 alimentadas pelo sistema AWS Nitro, e o alvo do espelhamento VPC deve estar dentro da mesma VPC que os hosts espelhados.

O impacto do espelhamento de tráfego VPC malicioso pode ser significativo, pois permite que atacantes acessem informações sensíveis transmitidas dentro das VPCs. A probabilidade de tal espelhamento malicioso é alta, considerando a presença de tráfego em texto claro fluindo através das VPCs. Muitas empresas usam protocolos em texto claro dentro de suas redes internas por razões de desempenho, assumindo que ataques tradicionais de man-in-the-middle não são possíveis.

Para mais informações e acesso ao script malmirror, ele pode ser encontrado em nosso repositório GitHub. O script automatiza e simplifica o processo, tornando-o rápido, simples e repetível para fins de pesquisa ofensiva.