AWS - EC2 Persistence
EC2
有关更多信息,请查看:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum安全组连接跟踪持久性
如果防御者发现EC2 实例被入侵,他可能会尝试隔离该机器的网络。他可以通过显式拒绝 NACL(但 NACL 影响整个子网),或者更改安全组以不允许任何入站或出站流量来实现这一点。
如果攻击者从该机器发起了反向 shell,即使 SG 被修改为不允许入站或出站流量,由于安全组连接跟踪,连接也不会被终止。
EC2 生命周期管理器
此服务允许调度创建 AMI 和快照,甚至与其他帐户共享。 攻击者可以配置每周生成所有镜像或所有卷的 AMI 或快照,并与他的帐户共享。
定时实例
可以安排实例每天、每周甚至每月运行。攻击者可以运行一个具有高权限或有趣访问权限的机器。
Spot Fleet 请求
Spot 实例比常规实例更便宜。攻击者可以启动一个为期 5 年的小型 Spot Fleet 请求(例如),具有自动 IP分配和一个用户数据,当Spot 实例启动时发送给攻击者IP 地址和一个高权限 IAM 角色。
后门实例
攻击者可以访问实例并在其中设置后门:
例如使用传统的rootkit
添加一个新的公共 SSH 密钥(查看EC2 提权选项)
在用户数据中设置后门
后门启动配置
后门使用的 AMI
后门用户数据
后门密钥对
VPN
创建 VPN,使攻击者能够直接通过它连接到 VPC。
VPC Peering
在受害者 VPC 和攻击者 VPC 之间创建对等连接,这样攻击者就能够访问受害者 VPC。
Last updated
