AWS - EC2 Persistence

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

EC2

Für weitere Informationen siehe:

pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Sicherheitsgruppen-Verbindungsverfolgung Persistenz

Wenn ein Verteidiger feststellt, dass eine EC2-Instanz kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Dies könnte mit einer expliziten Deny NACL geschehen (aber NACLs beeinflussen das gesamte Subnetz) oder durch Ändern der Sicherheitsgruppe, die keinen eingehenden oder ausgehenden Datenverkehr zulässt.

Wenn der Angreifer eine umgekehrte Shell von der Maschine aus gestartet hat, wird die Verbindung selbst dann nicht beendet, wenn die SG so geändert wird, dass kein eingehender oder ausgehender Datenverkehr erlaubt ist, aufgrund der Sicherheitsgruppen-Verbindungsverfolgung.

EC2 Lifecycle Manager

Dieser Dienst ermöglicht es, die Erstellung von AMIs und Snapshots zu planen und sie sogar mit anderen Konten zu teilen. Ein Angreifer könnte die Generierung von AMIs oder Snapshots aller Bilder oder aller Volumes jede Woche konfigurieren und mit seinem Konto teilen.

Geplante Instanzen

Es ist möglich, Instanzen täglich, wöchentlich oder sogar monatlich zu planen. Ein Angreifer könnte eine Maschine mit hohen Berechtigungen oder interessantem Zugriff ausführen, auf die er zugreifen könnte.

Spot Fleet-Anfrage

Spot-Instanzen sind günstiger als reguläre Instanzen. Ein Angreifer könnte eine kleine Spot-Fleet-Anfrage für 5 Jahre (zum Beispiel) starten, mit automatischer IP-Zuweisung und einem Benutzerdaten, das dem Angreifer mitteilt, wenn die Spot-Instanz gestartet wird und die IP-Adresse sowie eine hoch privilegierte IAM-Rolle.

Backdoor-Instanzen

Ein Angreifer könnte Zugriff auf die Instanzen erhalten und sie backdooren:

Verwendung eines traditionellen Rootkits zum Beispiel
Hinzufügen eines neuen öffentlichen SSH-Schlüssels (überprüfen Sie EC2-Privileg-Eskalationsoptionen)
Backdooring der Benutzerdaten

Backdoor-Startkonfiguration

Backdooren der verwendeten AMI
Backdooren der Benutzerdaten
Backdooren des Schlüsselpaares

VPN

Erstellen Sie ein VPN, damit der Angreifer direkt über ihn auf das VPC zugreifen kann.

VPC-Peering

Erstellen Sie eine Peering-Verbindung zwischen dem Opfer-VPC und dem Angreifer-VPC, damit er auf das Opfer-VPC zugreifen kann.

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 1 month ago