AWS - EC2 Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

EC2

For more information check:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

Якщо захисник виявить, що EC2 екземпляр був скомпрометований, він, ймовірно, спробує ізолювати мережу машини. Він може зробити це за допомогою явного Deny NACL (але NACL впливають на всю підмережу) або змінивши групу безпеки, не дозволяючи жодного виду вхідного або вихідного трафіку.

Якщо зловмисник мав реверсну оболонку, що походить з машини, навіть якщо SG змінено, щоб не дозволяти вхідний або вихідний трафік, з'єднання не буде розірвано через Security Group Connection Tracking.

EC2 Lifecycle Manager

Ця служба дозволяє планувати створення AMI та знімків і навіть ділитися ними з іншими обліковими записами. Зловмисник може налаштувати генерацію AMI або знімків всіх зображень або всіх томів кожного тижня і ділитися ними зі своїм обліковим записом.

Scheduled Instances

Можна запланувати екземпляри для запуску щодня, щотижня або навіть щомісяця. Зловмисник може запустити машину з високими привілеями або цікавим доступом, де він міг би отримати доступ.

Spot Fleet Request

Spot екземпляри є дешевшими ніж звичайні екземпляри. Зловмисник може запустити маленький запит на флот спотів на 5 років (наприклад), з автоматичним призначенням IP і даними користувача, які надсилають зловмиснику коли спот екземпляр запускається і IP-адресу з високопривілейованою IAM роллю.