AWS - EC2 Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації перегляньте:
Якщо захисник виявить, що екземпляр EC2 був скомпрометований, він, ймовірно, спробує ізолювати мережу машини. Він може зробити це за допомогою явного Deny NACL (але NACL впливають на всю підмережу) або змінивши групу безпеки, не дозволяючи жодного виду вхідного або вихідного трафіку.
Якщо зловмисник мав реверс-шелл, що походить з машини, навіть якщо SG змінено, щоб не дозволяти вхідний або вихідний трафік, з'єднання не буде розірвано через Відстеження з'єднань групи безпеки.
Ця служба дозволяє планувати створення AMI та знімків і навіть ділитися ними з іншими обліковими записами. Зловмисник може налаштувати генерацію AMI або знімків всіх зображень або всіх томів кожного тижня і ділитися ними зі своїм обліковим записом.
Можна запланувати екземпляри для запуску щодня, щотижня або навіть щомісяця. Зловмисник може запустити машину з високими привілеями або цікавим доступом, де він міг би отримати доступ.
Спотові екземпляри є дешевшими ніж звичайні екземпляри. Зловмисник може запустити маленький запит на флот спотів на 5 років (наприклад), з автоматичним призначенням IP і даними користувача, які надсилають зловмиснику коли спотовий екземпляр запускається та IP-адресу з високопривілейованою IAM роллю.
Зловмисник може отримати доступ до екземплярів і встановити бекдор:
Використовуючи традиційний rootkit, наприклад
Додаючи новий публічний SSH ключ (перевірте опції підвищення привілеїв EC2)
Встановлюючи бекдор у дані користувача
Встановити бекдор на використану AMI
Встановити бекдор на дані користувача
Встановити бекдор на пару ключів
Створіть VPN, щоб зловмисник міг підключитися безпосередньо через нього до VPC.
Створіть з'єднання пірінгу між VPC жертви та VPC зловмисника, щоб він міг отримати доступ до VPC жертви.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)