AWS - Lambda Persistence
Lambda
Daha fazla bilgi için kontrol edin:
AWS - Lambda EnumLambda Katmanı Kalıcılığı
Lambda yürütüldüğünde, lambda'nın keyfi kodu yürütmek için bir katmanı tanıtması/arka kapı oluşturması mümkündür:
AWS - Lambda Layers PersistenceLambda Uzantısı Kalıcılığı
Lambda Katmanlarını kötüye kullanarak, lambda içinde kalıcılık sağlamak ve aynı zamanda istekleri çalmak ve değiştirmek de mümkündür.
AWS - Abusing Lambda ExtensionsKaynak politikaları aracılığıyla
Farklı lambda eylemlerine (örneğin, çağırma veya kodu güncelleme) dış hesaplara erişim vermek mümkündür:
Sürümler, Takma Adlar ve Ağırlıklar
Bir Lambda'nın farklı sürümleri olabilir (her sürümde farklı kod). Daha sonra, lambda'nın farklı sürümleriyle farklı takma adlar oluşturabilir ve her birine farklı ağırlıklar atayabilirsiniz. Bu şekilde bir saldırgan, arka kapılı bir sürüm 1 ve yalnızca meşru kodu içeren bir sürüm 2 oluşturabilir ve gizli kalmak için isteklerin yalnızca %1'inde sürüm 1'i yürütebilir.
Sürüm Arka Kapısı + API Gateway
Lambda'nın orijinal kodunu kopyalayın
Orijinal kodu arka kapı oluşturacak şekilde yeni bir sürüm oluşturun (veya sadece kötü amaçlı kodla). Bu sürümü $LATEST'e yayınlayın ve dağıtın.
Kodu yürütmek için lambda ile ilgili API ağ geçidine çağrı yapın
Orijinal kodla yeni bir sürüm oluşturun, bu sürümü $LATEST'e yayınlayın ve dağıtın.
Bu, kötü amaçlı kodu önceki bir sürümde gizler
API Gateway'e gidin ve yeni bir POST yöntemi oluşturun (veya başka bir yöntem seçin) ve arka kapılı lambda'nın çalıştırılacağı:
arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1
Arnnin sonundaki :1, fonksiyonun sürümünü belirten (bu senaryoda sürüm 1 arka kapılı olan) bir işaret olacaktır.
Oluşturulan POST yöntemini seçin ve Eylemler'de
API'yi Yayınla
seçeneğini seçin.Şimdi, POST ile işlevi çağırdığınızda Arka Kapınız çağrılacaktır.
Cron/Olay etkinleyici
Lambda işlevlerinin bir şey olduğunda veya belirli bir süre geçtiğinde çalışmasını sağlayabilme özelliği, lambda'yı kalıcılık elde etmek ve tespit edilmekten kaçınmak için güzel ve yaygın bir yol yapar. AWS'deki varlığınızı daha gizli hale getirmek için lambda oluşturarak aşağıdaki fikirlere sahip olursunuz.
Her yeni kullanıcı oluşturulduğunda, lambda yeni bir kullanıcı anahtarı oluşturur ve bunu saldırganın yanına gönderir.
Her yeni rol oluşturulduğunda, lambda, etkilenen kullanıcılara rolü varsayılan olarak atar.
Her yeni cloudtrail günlüğü oluşturulduğunda, bunları siler/değiştirir
Last updated