AWS - Malicious VPC Mirror

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

Ukaguzi wa mtandao wa passiv katika mazingira ya wingu umekuwa mgumu, ukihitaji mabadiliko makubwa ya usanidi ili kufuatilia trafiki ya mtandao. Hata hivyo, kipengele kipya kinachoitwa “VPC Traffic Mirroring” kimeanzishwa na AWS ili kurahisisha mchakato huu. Kwa VPC Traffic Mirroring, trafiki ya mtandao ndani ya VPCs inaweza kuigwa bila kufunga programu yoyote kwenye mifano yenyewe. Trafiki hii iliyounganishwa inaweza kutumwa kwa mfumo wa kugundua uvamizi wa mtandao (IDS) kwa uchambuzi.

Ili kukabiliana na hitaji la kupelekwa kiotomatiki kwa miundombinu inayohitajika kwa ajili ya kuiga na kuhamasisha trafiki ya VPC, tumetengeneza skripti ya uthibitisho wa dhana inayoitwa “malmirror”. Skripti hii inaweza kutumika na akili za AWS zilizovunjwa kuweka kuiga kwa mifano yote inayoungwa mkono ya EC2 katika VPC lengwa. Ni muhimu kutambua kwamba VPC Traffic Mirroring inasaidiwa tu na mifano ya EC2 inayotumiwa na mfumo wa AWS Nitro, na lengo la VPC mirror lazima liwe ndani ya VPC hiyo hiyo kama wenyeji walioigwa.

Athari za kuiga trafiki ya VPC kwa njia mbaya zinaweza kuwa kubwa, kwani inawawezesha washambuliaji kupata habari nyeti zinazotumwa ndani ya VPCs. Uwezekano wa kuiga mbaya kama hii ni mkubwa, ukizingatia uwepo wa trafiki ya wazi inayopita kupitia VPCs. Kampuni nyingi hutumia protokali za wazi ndani ya mitandao yao ya ndani kwa sababu za utendaji, wakidhani kwamba mashambulizi ya jadi ya mtu katikati hayawezekani.

Kwa maelezo zaidi na ufikiaji wa malmirror script, inaweza kupatikana kwenye GitHub repository yetu. Skripti hii inafanya mchakato kuwa haraka, rahisi, na inarudiwa kwa madhumuni ya utafiti wa mashambulizi.