AWS - EC2 Persistence

EC2

For more information check:

Security Group Connection Tracking Persistence

Якщо захисник виявить, що EC2 екземпляр був скомпрометований, він, ймовірно, спробує ізолювати мережу машини. Він може зробити це за допомогою явного Deny NACL (але NACL впливають на всю підмережу) або змінивши групу безпеки, не дозволяючи жодного виду вхідного або вихідного трафіку.

Якщо зловмисник мав реверсну оболонку, що походить з машини, навіть якщо SG змінено, щоб не дозволяти вхідний або вихідний трафік, з'єднання не буде розірвано через Security Group Connection Tracking.

EC2 Lifecycle Manager

Ця служба дозволяє планувати створення AMI та знімків і навіть ділитися ними з іншими обліковими записами. Зловмисник може налаштувати генерацію AMI або знімків всіх зображень або всіх томів кожного тижня і ділитися ними зі своїм обліковим записом.

Scheduled Instances

Можна запланувати екземпляри для запуску щодня, щотижня або навіть щомісяця. Зловмисник може запустити машину з високими привілеями або цікавим доступом, де він міг би отримати доступ.

Spot Fleet Request

Spot екземпляри є дешевшими ніж звичайні екземпляри. Зловмисник може запустити маленький запит на флот спотів на 5 років (наприклад), з автоматичним призначенням IP і даними користувача, які надсилають зловмиснику коли спот екземпляр запускається і IP-адресу з високопривілейованою IAM роллю.

Backdoor Instances

Зловмисник може отримати доступ до екземплярів і встановити на них бекдор:

• Використовуючи традиційний rootkit, наприклад

• Додаючи новий публічний SSH ключ (перевірте EC2 privesc options)

• Встановлюючи бекдор у дані користувача

Backdoor Launch Configuration

• Встановити бекдор на використану AMI

• Встановити бекдор на дані користувача

• Встановити бекдор на ключову пару

VPN

Створити VPN, щоб зловмисник міг підключитися безпосередньо через нього до VPC.

VPC Peering

Створити з'єднання пірінгу між VPC жертви та VPC зловмисника, щоб він міг отримати доступ до VPC жертви.