AWS - EC2 Persistence
EC2
Für weitere Informationen siehe:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN EnumSicherheitsgruppen-Verbindungsverfolgung Persistenz
Wenn ein Verteidiger feststellt, dass eine EC2-Instanz kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Dies könnte mit einer expliziten Deny NACL geschehen (aber NACLs beeinflussen das gesamte Subnetz) oder durch Ändern der Sicherheitsgruppe, die keinen eingehenden oder ausgehenden Datenverkehr zulässt.
Wenn der Angreifer eine umgekehrte Shell von der Maschine aus gestartet hat, wird die Verbindung selbst dann nicht beendet, wenn die SG so geändert wird, dass kein eingehender oder ausgehender Datenverkehr erlaubt ist, aufgrund der Sicherheitsgruppen-Verbindungsverfolgung.
EC2 Lifecycle Manager
Dieser Dienst ermöglicht es, die Erstellung von AMIs und Snapshots zu planen und sie sogar mit anderen Konten zu teilen. Ein Angreifer könnte die Generierung von AMIs oder Snapshots aller Bilder oder aller Volumes jede Woche konfigurieren und mit seinem Konto teilen.
Geplante Instanzen
Es ist möglich, Instanzen täglich, wöchentlich oder sogar monatlich zu planen. Ein Angreifer könnte eine Maschine mit hohen Berechtigungen oder interessantem Zugriff ausführen, auf die er zugreifen könnte.
Spot Fleet-Anfrage
Spot-Instanzen sind günstiger als reguläre Instanzen. Ein Angreifer könnte eine kleine Spot-Fleet-Anfrage für 5 Jahre (zum Beispiel) starten, mit automatischer IP-Zuweisung und einem Benutzerdaten, das dem Angreifer mitteilt, wenn die Spot-Instanz gestartet wird und die IP-Adresse sowie eine hoch privilegierte IAM-Rolle.
Backdoor-Instanzen
Ein Angreifer könnte Zugriff auf die Instanzen erhalten und sie backdooren:
Verwendung eines traditionellen Rootkits zum Beispiel
Hinzufügen eines neuen öffentlichen SSH-Schlüssels (überprüfen Sie EC2-Privileg-Eskalationsoptionen)
Backdooring der Benutzerdaten
Backdoor-Startkonfiguration
Backdooren der verwendeten AMI
Backdooren der Benutzerdaten
Backdooren des Schlüsselpaares
VPN
Erstellen Sie ein VPN, damit der Angreifer direkt über ihn auf das VPC zugreifen kann.
VPC-Peering
Erstellen Sie eine Peering-Verbindung zwischen dem Opfer-VPC und dem Angreifer-VPC, damit er auf das Opfer-VPC zugreifen kann.
Last updated