Kyk na https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws vir verdere besonderhede oor die aanval!

Passiewe netwerk inspeksie in 'n wolkomgewing was uitdagend, wat groot konfigurasieveranderinge vereis het om netwerkverkeer te monitor. 'n Nuwe kenmerk genaamd "VPC Traffic Mirroring" is egter deur AWS bekendgestel om hierdie proses te vereenvoudig. Met VPC Traffic Mirroring kan netwerkverkeer binne VPC's gekopieer word sonder om enige sagteware op die instansies self te installeer. Hierdie gekopieerde verkeer kan gestuur word na 'n netwerk indringingsdeteksiesisteem (IDS) vir ontleding.

Om die behoefte aan geoutomatiseerde implementering van die nodige infrastruktuur vir spieël en eksfiltrering van VPC-verkeer aan te spreek, het ons 'n konsep-skrip genaamd "malmirror" ontwikkel. Hierdie skrip kan gebruik word met gekompromitteerde AWS-legitimasie om spieëling op te stel vir alle ondersteunde EC2-instansies in 'n teikenvpc. Dit is belangrik om daarop te let dat VPC Traffic Mirroring slegs ondersteun word deur EC2-instansies wat aangedryf word deur die AWS Nitro-stelsel, en die VPC-spieëlteiken moet binne dieselfde VPC as die gespieëlde gasheers wees.

Die impak van boosaardige VPC-verkeerspieëling kan aansienlik wees, aangesien dit aanvallers in staat stel om toegang te verkry tot sensitiewe inligting wat binne VPC's oorgedra word. Die waarskynlikheid van sulke boosaardige spieëling is hoog, gegewe die teenwoordigheid van teksverkeer wat deur VPC's vloei. Baie maatskappye gebruik teksprotokolle binne hul interne netwerke vir prestasie redes, met die aanname dat tradisionele man-in-die-middel aanvalle nie moontlik is nie.

Vir meer inligting en toegang tot die malmirror-skrip, kan dit gevind word op ons GitHub-opberging. Die skrip outomatiseer en stroomlyn die proses, wat dit vinnig, eenvoudig en herhaalbaar maak vir aanvallende navorsingsdoeleindes.