AWS - Malicious VPC Mirror

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

Pasivna inspekcija mreže u cloud okruženju je bila izazovna, zahtevajući velike promene u konfiguraciji za praćenje mrežnog saobraćaja. Međutim, nova funkcija pod nazivom “VPC Traffic Mirroring” je uvedena od strane AWS-a kako bi se pojednostavio ovaj proces. Sa VPC Traffic Mirroring, mrežni saobraćaj unutar VPC-a može biti dupliran bez instaliranja bilo kakvog softvera na samim instancama. Ovaj duplirani saobraćaj može biti poslat na sistem za detekciju mrežnih upada (IDS) radi analize.

Da bismo odgovorili na potrebu za automatskim postavljanjem potrebne infrastrukture za mirroring i eksfiltraciju VPC saobraćaja, razvili smo skriptu za dokazivanje koncepta pod nazivom “malmirror”. Ova skripta se može koristiti sa kompromitovanim AWS kredencijalima za postavljanje mirroringa za sve podržane EC2 instance u ciljanom VPC-u. Važno je napomenuti da VPC Traffic Mirroring podržavaju samo EC2 instance pokretane AWS Nitro sistemom, a VPC cilj za mirroring mora biti unutar istog VPC-a kao i hostovi koji se mirroringuju.

Uticaj zlonamernog VPC saobraćaja može biti značajan, jer omogućava napadačima pristup osetljivim informacijama koje se prenose unutar VPC-a. Verovatnoća takvog zlonamernog mirroringa je visoka, s obzirom na prisustvo saobraćaja u čistom tekstu koji prolazi kroz VPC-e. Mnoge kompanije koriste protokole u čistom tekstu unutar svojih internih mreža iz razloga performansi, pretpostavljajući da tradicionalni napadi tipa man-in-the-middle nisu mogući.

Za više informacija i pristup malmirror skripti, može se pronaći u našoj GitHub repozitoriji. Skripta automatizuje i pojednostavljuje proces, čineći ga brzim, jednostavnim i ponovljivim za svrhe ofanzivnog istraživanja.