AWS - Malicious VPC Mirror

查看 https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws 以获取攻击的更多详细信息！

在云环境中进行被动网络检查一直是具有挑战性的，需要进行重大配置更改以监视网络流量。然而，AWS引入了一个名为“VPC Traffic Mirroring”的新功能，以简化这一过程。通过VPC Traffic Mirroring，VPC内的网络流量可以在不在实例上安装任何软件的情况下进行复制。这些复制的流量可以发送到网络入侵检测系统（IDS）进行分析。

为了满足对镜像和外泄VPC流量所需基础设施的自动部署的需求，我们开发了一个名为“malmirror”的概念验证脚本。此脚本可与被入侵的AWS凭据一起使用，为目标VPC中的所有受支持的EC2实例设置镜像。需要注意的是，VPC Traffic Mirroring仅受到由AWS Nitro系统提供支持的EC2实例的支持，并且VPC镜像目标必须位于与被镜像主机相同的VPC内。

恶意VPC流量镜像的影响可能很大，因为它允许攻击者访问VPC内传输的敏感信息。考虑到VPC中存在明文流量，这种恶意镜像的可能性很高。许多公司在其内部网络中使用明文协议出于性能原因，假设传统的中间人攻击是不可能的。

有关更多信息和访问malmirror 脚本，请在我们的GitHub存储库中查找。该脚本自动化并简化了该过程，使其对于进攻性研究目的变得快速、简单和可重复。