AWS - Malicious VPC Mirror

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

Пасивна мережна інспекція в хмарному середовищі була складною, вимагала значних змін конфігурації для моніторингу мережевого трафіку. Однак AWS представила нову функцію під назвою “VPC Traffic Mirroring”, щоб спростити цей процес. З VPC Traffic Mirroring мережевий трафік у VPC може бути дубльований без встановлення будь-якого програмного забезпечення на самих екземплярах. Цей дубльований трафік може бути надісланий до системи виявлення мережевих вторгнень (IDS) для аналізу.

Щоб задовольнити потребу в автоматизованому розгортанні необхідної інфраструктури для дублювання та ексфільтрації трафіку VPC, ми розробили скрипт доведення концепції під назвою “malmirror”. Цей скрипт можна використовувати з компрометованими AWS обліковими даними для налаштування дублювання для всіх підтримуваних EC2 екземплярів у цільовому VPC. Важливо зазначити, що VPC Traffic Mirroring підтримується лише EC2 екземплярами, які працюють на системі AWS Nitro, і ціль дзеркала VPC повинна бути в тому ж VPC, що й дзеркальні хости.

Вплив зловмисного дублювання трафіку VPC може бути значним, оскільки це дозволяє зловмисникам отримувати доступ до чутливої інформації, що передається в межах VPC. Ймовірність такого зловмисного дублювання висока, враховуючи наявність трафіку у відкритому тексті, що проходить через VPC. Багато компаній використовують протоколи у відкритому тексті в своїх внутрішніх мережах з причин продуктивності, вважаючи, що традиційні атаки "людина посередині" неможливі.

Для отримання додаткової інформації та доступу до скрипту malmirror його можна знайти в нашому репозиторії GitHub. Скрипт автоматизує та спрощує процес, роблячи його швидким, простим і повторюваним для цілей наступальних досліджень.