AWS - EC2 Persistence
Last updated
Last updated
Daha fazla bilgi için kontrol edin:
Bir savunmacı, bir EC2 örneğinin ele geçirildiğini tespit ederse, muhtemelen makinenin ağını izole etmeye çalışacaktır. Bunun için açık bir Reddet NACL kullanabilir (ancak NACL'ler tüm alt ağı etkiler) veya güvenlik grubunu değiştirerek herhangi bir giriş veya çıkış trafiğine izin vermez.
Saldırgan, makineden kaynaklanan bir ters kabuk olsa bile, SG değiştirilerek giriş veya çıkış trafiğine izin verilmemesine rağmen, bağlantı Güvenlik Grubu Bağlantı Takibi** nedeniyle öldürülmeyecektir.**
Bu hizmet, AMI'ların ve anlık görüntülerin oluşturulmasını zamanlamayı ve hatta diğer hesaplarla paylaşmayı sağlar. Bir saldırgan, her hafta veya tüm görüntülerin veya tüm hacimlerin anlık görüntülerin oluşturulmasını yapılandırabilir ve kendi hesabıyla paylaşabilir.
Günlük, haftalık veya hatta aylık olarak örneklerin zamanlanması mümkündür. Bir saldırgan, yüksek ayrıcalıklara veya ilgi çekici erişime sahip bir makineyi çalıştırabilir.
Spot örnekleri, düzenli örneklerden daha ucuzdur. Bir saldırgan, 5 yıl gibi bir süre için küçük bir spot filo isteği başlatabilir, otomatik IP ataması ve bir kullanıcı verisi ile saldırgana spot örneği başladığında IP adresini gönderir ve yüksek ayrıcalıklı IAM rolü ile.
Bir saldırgan, örneklerin erişimini elde edebilir ve arka kapı ekleyebilir:
Örneğin geleneksel bir rootkit kullanarak
Yeni bir genel SSH anahtarı ekleyerek (kontrol edin EC2 ayrıcalık yükseltme seçenekleri)
Kullanıcı Verisini arka kapı olarak kullanarak
Kullanılan AMI'yi arka kapı olarak kullanın
Kullanıcı Verisini arka kapı olarak kullanın
Anahtar Çiftini arka kapı olarak kullanın
Bir VPN oluşturun, böylece saldırgan VPC'ye doğrudan bağlanabilir.
Kurban VPC ile saldırgan VPC arasında bir eşleştirme bağlantısı oluşturun, böylece saldırgan kurban VPC'ye erişebilir.