AWS - Malicious VPC Mirror

Saldırı hakkında daha fazla bilgi için https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws kontrol edin!

Bir bulut ortamında pasif ağ denetimi zorlayıcı olmuştur ve ağ trafiğini izlemek için büyük yapılandırma değişiklikleri gerektirmiştir. Ancak, bu süreci basitleştirmek için AWS tarafından “VPC Trafik Aynası” adı verilen yeni bir özellik tanıtılmıştır. VPC Trafik Aynası ile VPC'ler içindeki ağ trafiği, örneklerin kendisine herhangi bir yazılım yüklemeden kopyalanabilir. Bu kopyalanan trafik, analiz için bir ağ saldırı tespit sistemi (IDS) ile gönderilebilir.

VPC trafiğini ayna yapma ve dışa aktarma için gerekli altyapının otomatik dağıtım ihtiyacını karşılamak amacıyla “malmirror” adlı bir kanıt konsepti scripti geliştirdik. Bu script, ele geçirilmiş AWS kimlik bilgileri ile hedef bir VPC'deki tüm desteklenen EC2 örnekleri için aynalama kurmak üzere kullanılabilir. VPC Trafik Aynası'nın yalnızca AWS Nitro sistemiyle desteklenen EC2 örnekleri tarafından desteklendiğini ve VPC aynası hedefinin, aynalanan ana bilgisayarlarla aynı VPC içinde olması gerektiğini belirtmek önemlidir.

Kötü amaçlı VPC trafik aynalamanın etkisi önemli olabilir, çünkü bu, saldırganların VPC'ler içinde iletilen hassas bilgilere erişmesine olanak tanır. Böyle bir kötü amaçlı aynalamanın olasılığı yüksektir, çünkü VPC'ler üzerinden akan düz metin trafiği mevcuttur. Birçok şirket, geleneksel adam ortada saldırıların mümkün olmadığını varsayarak, performans nedenleriyle iç ağlarında düz metin protokolleri kullanmaktadır.

Daha fazla bilgi ve malmirror scriptine erişim için, scriptimizi GitHub deposunda bulabilirsiniz. Script, süreci otomatikleştirir ve basitleştirir, böylece saldırgan araştırma amaçları için hızlı, basit ve tekrarlanabilir hale getirir.