AWS - EC2 Persistence

Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

EC2

Für weitere Informationen siehe:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Sicherheitsgruppen-Verbindungsverfolgung Persistenz

Wenn ein Verteidiger feststellt, dass eine EC2-Instanz kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Dies könnte mit einer expliziten Deny NACL geschehen (aber NACLs beeinflussen das gesamte Subnetz) oder durch Ändern der Sicherheitsgruppe, die keinen eingehenden oder ausgehenden Datenverkehr erlaubt.

Wenn der Angreifer eine umgekehrte Shell von der Maschine aus gestartet hatte, wird die Verbindung nicht beendet, selbst wenn die SG so geändert wird, dass kein eingehender oder ausgehender Datenverkehr erlaubt ist, aufgrund der Sicherheitsgruppen-Verbindungsverfolgung.

EC2 Lifecycle Manager

Dieser Dienst ermöglicht es, die Erstellung von AMIs und Snapshots zu planen und sie sogar mit anderen Konten zu teilen. Ein Angreifer könnte die Generierung von AMIs oder Snapshots aller Bilder oder aller Volumes jede Woche konfigurieren und mit seinem Konto teilen.

Geplante Instanzen

Es ist möglich, Instanzen täglich, wöchentlich oder sogar monatlich zu planen. Ein Angreifer könnte eine Maschine mit hohen Berechtigungen oder interessantem Zugriff ausführen, auf die er zugreifen könnte.

Spot Fleet-Anfrage

Spot-Instanzen sind günstiger als reguläre Instanzen. Ein Angreifer könnte eine kleine Spot-Fleet-Anfrage für 5 Jahre (zum Beispiel) starten, mit automatischer IP-Zuweisung und einem Benutzerdaten, der dem Angreifer gesendet wird, wenn die Spot-Instanz gestartet wird und die IP-Adresse sowie eine hoch privilegierte IAM-Rolle.

Backdoor-Instanzen

Ein Angreifer könnte Zugriff auf die Instanzen erhalten und sie backdooren:

Verwendung eines traditionellen Rootkits zum Beispiel
Hinzufügen eines neuen öffentlichen SSH-Schlüssels (überprüfen Sie EC2-Privileg-Eskalationsoptionen)
Backdooring der Benutzerdaten

Backdoor-Startkonfiguration

Backdooren der verwendeten AMI
Backdooren der Benutzerdaten
Backdooren des Schlüsselpaares

VPN

Erstellen Sie ein VPN, damit der Angreifer direkt über ihn auf das VPC zugreifen kann.

VPC-Peering

Erstellen Sie eine Peering-Verbindung zwischen dem Opfer-VPC und dem Angreifer-VPC, damit er auf das Opfer-VPC zugreifen kann.

Lernen Sie AWS-Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen Sie GCP-Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 1 month ago