AWS - EC2 Persistence
EC2
Za više informacija pogledajte:
AWS - EC2, EBS, ELB, SSM, VPC & VPN EnumUpornost Praćenja Povezivanja Sigurnosne Grupe
Ako branilac otkrije da je EC2 instanca kompromitovana, verovatno će pokušati da izoluje mrežu mašine. To može učiniti sa eksplicitnom Deny NACL (ali NACL-ovi utiču na celu podmrežu), ili menjanjem sigurnosne grupe ne dozvoljavajući bilo kakav ulazni ili izlazni saobraćaj.
Ako je napadač imao obrnuti shell poreklom sa mašine, čak i ako je SG modifikovan da ne dozvoljava ulazni ili izlazni saobraćaj, veza neće biti prekinuta zbog Praćenja Povezivanja Sigurnosne Grupe.
EC2 Menadžer Životnog Ciklusa
Ova usluga omogućava planiranje kreiranja AMI-ja i snimaka i čak deljenje sa drugim nalozima. Napadač bi mogao konfigurisati generisanje AMI-ja ili snimaka svih slika ili svih zapisa svake nedelje i deliti ih sa svojim nalogom.
Planirane Instance
Moguće je planirati instance da se pokreću svakodnevno, nedeljno ili čak mesečno. Napadač bi mogao pokrenuti mašinu sa visokim privilegijama ili interesantnim pristupom gde bi mogao pristupiti.
Zahtev za Spot Fleet
Spot instance-i su jeftiniji od običnih instanci. Napadač bi mogao pokrenuti mali zahtev za spot fleet na 5 godina (na primer), sa automatskim dodeljivanjem IP adrese i korisničkim podacima koji šalju napadaču kada spot instanca startuje i IP adresom i sa visokim privilegovanim IAM ulogom.
Backdoor Instance-i
Napadač bi mogao dobiti pristup instancama i staviti backdoor na njih:
Koristeći tradicionalni rootkit na primer
Dodavanjem novog javni SSH ključ (proverite opcije priveska EC2)
Stavljanjem backdoor-a u Korisničke Podatke
Backdoor Konfiguracija Pokretanja
Staviti backdoor na korišćeni AMI
Staviti backdoor na Korisničke Podatke
Staviti backdoor na Par Ključeva
VPN
Kreirajte VPN tako da će napadač moći direktno da se poveže preko njega sa VPC-om.
VPC Povezivanje
Kreirajte povezivanje između VPC-a žrtve i VPC-a napadača tako da će on moći pristupiti VPC-u žrtve.
Last updated