AWS - EC2 Persistence

EC2

Kwa maelezo zaidi angalia:

Ufuatiliaji wa Muunganisho wa Kundi la Usalama

Ikiwa mlinzi atagundua kuwa EC2 instance ilikumbwa na uhalifu atajaribu kujitenga na mtandao wa mashine hiyo. Anaweza kufanya hivi kwa kutumia Deny NACL wazi (lakini NACLs zinaathiri subnet nzima), au kubadilisha kundi la usalama kutoruhusu aina yoyote ya trafiki ya ndani au nje.

Ikiwa mshambuliaji alikuwa na reverse shell iliyoanzishwa kutoka kwa mashine, hata kama SG imebadilishwa kutoruhusu trafiki ya ndani au nje, muunganisho hautakatwa kutokana na Ufuatiliaji wa Muunganisho wa Kundi la Usalama.

Meneja wa Mzunguko wa EC2

Huduma hii inaruhusu kuandaa kuundwa kwa AMIs na snapshots na hata kuzigawanya na akaunti nyingine. Mshambuliaji anaweza kuunda uzalishaji wa AMIs au snapshots za picha zote au volumes zote kila wiki na kuzigawanya na akaunti yake.

Instances za Ratiba

Inawezekana kupanga instances kufanya kazi kila siku, kila wiki au hata kila mwezi. Mshambuliaji anaweza kuendesha mashine yenye mamlaka ya juu au ufikiaji wa kuvutia ambapo anaweza kufikia.

Ombi la Spot Fleet

Instances za Spot ni za bei nafuu kuliko instances za kawaida. Mshambuliaji anaweza kuzindua ombile dogo la spot fleet kwa miaka 5 (kwa mfano), kwa ugawaji wa IP wa kiotomatiki na data ya mtumiaji inayotuma kwa mshambuliaji wakati instance ya spot inaanza na anwani ya IP na nafasi ya IAM yenye mamlaka ya juu.

Instances za Backdoor

Mshambuliaji anaweza kupata ufikiaji wa instances na kuziingiza backdoor:

• Kutumia rootkit wa jadi kwa mfano

• Kuongeza funguo mpya za SSH za umma (angalia chaguzi za EC2 privesc)

• Kuingiza backdoor kwenye Data ya Mtumiaji

Mwelekeo wa Kuanzisha Backdoor

• Kuingiza backdoor kwenye AMI iliyotumika

• Kuingiza backdoor kwenye Data ya Mtumiaji

• Kuingiza backdoor kwenye Key Pair

VPN

Unda VPN ili mshambuliaji aweze kuungana moja kwa moja kupitia i hadi VPC.

VPC Peering

Unda muunganisho wa peering kati ya VPC ya mwathirika na VPC ya mshambuliaji ili aweze kufikia VPC ya mwathirika.