AWS - Malicious VPC Mirror

Verifique https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws para mais detalhes do ataque!

A inspeção passiva de rede em um ambiente de nuvem tem sido desafiadora, exigindo grandes mudanças de configuração para monitorar o tráfego de rede. No entanto, um novo recurso chamado “Espelhamento de Tráfego VPC” foi introduzido pela AWS para simplificar esse processo. Com o Espelhamento de Tráfego VPC, o tráfego de rede dentro das VPCs pode ser duplicado sem instalar nenhum software nas instâncias. Esse tráfego duplicado pode ser enviado para um sistema de detecção de intrusões de rede (IDS) para análise.

Para atender à necessidade de implantação automatizada da infraestrutura necessária para espelhar e exfiltrar o tráfego VPC, desenvolvemos um script de prova de conceito chamado “malmirror”. Este script pode ser usado com credenciais AWS comprometidas para configurar o espelhamento para todas as instâncias EC2 suportadas em uma VPC alvo. É importante notar que o Espelhamento de Tráfego VPC é suportado apenas por instâncias EC2 alimentadas pelo sistema AWS Nitro, e o alvo do espelho VPC deve estar dentro da mesma VPC que os hosts espelhados.

O impacto do espelhamento malicioso de tráfego VPC pode ser significativo, pois permite que atacantes acessem informações sensíveis transmitidas dentro das VPCs. A probabilidade de tal espelhamento malicioso é alta, considerando a presença de tráfego em texto claro fluindo através das VPCs. Muitas empresas usam protocolos em texto claro dentro de suas redes internas por razões de desempenho, assumindo que ataques tradicionais de homem no meio não são possíveis.

Para mais informações e acesso ao script malmirror, ele pode ser encontrado em nosso repositório GitHub. O script automatiza e simplifica o processo, tornando-o rápido, simples e repetível para fins de pesquisa ofensiva.