AWS - EC2 Persistence

EC2

Za više informacija proverite:

Praćenje povezanosti sigurnosne grupe

Ako odbrambeni sistem otkrije da je EC2 instanca kompromitovana, verovatno će pokušati da izoluje mrežu mašine. To može učiniti sa eksplicitnim Deny NACL (ali NACL-ovi utiču na celu podmrežu), ili promenom sigurnosne grupe koja ne dozvoljava nikakav ulazni ili izlazni saobraćaj.

Ako je napadač imao obrnuti shell koji potiče sa mašine, čak i ako je SG izmenjen da ne dozvoljava ulazni ili izlazni saobraćaj, veza neće biti prekinuta zbog Praćenja povezanosti sigurnosne grupe.

EC2 Menadžer životnog ciklusa

Ova usluga omogućava zakazivanje kreiranja AMI-ja i snimaka i čak deljenje sa drugim nalozima. Napadač bi mogao da konfiguriše generisanje AMI-ja ili snimaka svih slika ili svih volumena svake nedelje i podeli ih sa svojim nalogom.

Zakazane instance

Moguće je zakazati instance da se pokreću dnevno, nedeljno ili čak mesečno. Napadač bi mogao da pokrene mašinu sa visokim privilegijama ili zanimljivim pristupom gde bi mogao da pristupi.

Spot Fleet Zahtev

Spot instance su jeftinije od redovnih instanci. Napadač bi mogao da pokrene mali spot fleet zahtev na 5 godina (na primer), sa automatskom IP dodelom i korisničkim podacima koji šalju napadaču kada spot instanca počne i IP adresu i sa IAM ulogom sa visokim privilegijama.

Backdoor instance

Napadač bi mogao da dobije pristup instancama i da ih backdoor-uje:

• Koristeći tradicionalni rootkit, na primer

• Dodajući novu javnu SSH ključ (proverite EC2 privesc opcije)

• Backdoor-ovanjem Korisničkih podataka

Backdoor Konfiguracija pokretanja

• Backdoor-ovati korišćeni AMI

• Backdoor-ovati Korisničke podatke

• Backdoor-ovati Par ključeva

VPN

Kreirati VPN tako da napadač može direktno da se poveže kroz njega sa VPC-om.

VPC Peering

Kreirati peering vezu između VPC-a žrtve i VPC-a napadača kako bi mogao da pristupi VPC-u žrtve.