Überprüfen Sie https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws für weitere Details zum Angriff!

Die passive Netzwerküberwachung in einer Cloud-Umgebung war herausfordernd und erforderte erhebliche Konfigurationsänderungen, um den Netzwerkverkehr zu überwachen. Ein neues Feature namens "VPC Traffic Mirroring" wurde jedoch von AWS eingeführt, um diesen Prozess zu vereinfachen. Mit VPC Traffic Mirroring kann der Netzwerkverkehr innerhalb dupliziert werden, ohne Software auf den Instanzen selbst zu installieren. Dieser duplizierte Verkehr kann an ein Netzwerk-Intrusionserkennungssystem (IDS) zur Analyse gesendet werden.

Um den Bedarf an automatisierter Bereitstellung der erforderlichen Infrastruktur für das Spiegeln und Exfiltrieren des VPC-Verkehrs zu decken, haben wir ein Proof-of-Concept-Skript namens "malmirror" entwickelt. Dieses Skript kann mit kompromittierten AWS-Anmeldeinformationen verwendet werden, um das Spiegeln für alle unterstützten EC2-Instanzen in einem Ziel-VPC einzurichten. Es ist wichtig zu beachten, dass VPC Traffic Mirroring nur von EC2-Instanzen unterstützt wird, die vom AWS Nitro-System betrieben werden, und das VPC-Spiegelziel muss sich im selben VPC wie die gespiegelten Hosts befinden.

Die Auswirkungen des bösartigen VPC-Verkehrsspiegelns können erheblich sein, da es Angreifern ermöglicht, auf sensible Informationen zuzugreifen, die innerhalb von VPCs übertragen werden. Die Wahrscheinlichkeit eines solchen bösartigen Spiegelns ist hoch, wenn man bedenkt, dass Klartextverkehr durch VPCs fließt. Viele Unternehmen verwenden Klartextprotokolle innerhalb ihrer internen Netzwerke aus Leistungsgründen, in der Annahme, dass herkömmliche Man-in-the-Middle-Angriffe nicht möglich sind.

Für weitere Informationen und Zugriff auf das malmirror-Skript finden Sie es in unserem GitHub-Repository. Das Skript automatisiert und vereinfacht den Prozess, sodass er für offensive Forschungszwecke schnell, einfach und wiederholbar ist.