AWS - EC2 Persistence

EC2

Daha fazla bilgi için kontrol edin:

Güvenlik Grubu Bağlantı İzleme Sürekliliği

Eğer bir savunucu EC2 örneğinin tehlikeye girdiğini fark ederse, muhtemelen makinenin ağını izole etmeye çalışacaktır. Bunu açık bir Deny NACL ile yapabilir (ancak NACL'ler tüm alt ağa etki eder), ya da güvenlik grubunu değiştirerek herhangi bir türde gelen veya giden trafiğe izin vermeyebilir.

Eğer saldırganın makineden kaynaklanan bir ters shell'i varsa, SG değiştirildiğinde bile gelen veya giden trafiğe izin vermeyen, bağlantı Güvenlik Grubu Bağlantı İzleme nedeniyle kesilmeyecektir.**

EC2 Yaşam Döngüsü Yöneticisi

Bu hizmet, AMI'lerin ve anlık görüntülerin oluşturulmasını planlamaya ve hatta başka hesaplarla paylaşmaya olanak tanır. Bir saldırgan, her hafta tüm görüntülerin veya tüm hacimlerin AMI'lerini veya anlık görüntülerini oluşturmak için yapılandırabilir ve kendi hesabıyla paylaşabilir.

Planlı Örnekler

Örneklerin günlük, haftalık veya hatta aylık olarak çalıştırılması mümkündür. Bir saldırgan, erişebileceği yüksek ayrıcalıklara sahip bir makine çalıştırabilir.

Spot Filosu Talebi

Spot örnekleri, normal örneklerden daha ucuzdur. Bir saldırgan, 5 yıl için küçük bir spot filosu talebi başlatabilir (örneğin), otomatik IP ataması ile ve saldırganın spot örneği başladığında ve IP adresi ile yüksek ayrıcalıklı IAM rolü ile gönderilen bir kullanıcı verisi ile.

Arka Kapı Örnekleri

Bir saldırgan, örneklere erişebilir ve onları arka kapı ile açabilir:

• Örneğin, geleneksel bir rootkit kullanarak

• Yeni bir genel SSH anahtarı ekleyerek (bkz. EC2 ayrıcalık yükseltme seçenekleri)

• Kullanıcı Verisini arka kapı ile açarak

Arka Kapı Başlatma Yapılandırması

• Kullanılan AMI'yi arka kapı ile aç

• Kullanıcı Verisini arka kapı ile aç

• Anahtar çiftini arka kapı ile aç

VPN

Saldırganın VPC'ye doğrudan bağlanabilmesi için bir VPN oluşturun.

VPC Peering

Kurban VPC ile saldırgan VPC arasında bir peering bağlantısı oluşturun, böylece kurban VPC'ye erişebilir.