AWS - Malicious VPC Mirror

Überprüfen Sie https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws für weitere Details zum Angriff!

Die passive Netzwerküberwachung in einer Cloud-Umgebung war herausfordernd und erforderte umfangreiche Konfigurationsänderungen, um den Netzwerkverkehr zu überwachen. Mit einer neuen Funktion namens "VPC Traffic Mirroring" hat AWS diesen Prozess vereinfacht. Mit VPC Traffic Mirroring kann der Netzwerkverkehr innerhalb von VPCs dupliziert werden, ohne Software auf den Instanzen selbst zu installieren. Dieser duplizierte Verkehr kann an ein Netzwerk-Intrusionserkennungssystem (IDS) zur Analyse gesendet werden.

Um den Bedarf an automatisierter Bereitstellung der erforderlichen Infrastruktur für das Spiegeln und Exfiltrieren von VPC-Verkehr zu decken, haben wir ein Proof-of-Concept-Skript namens "malmirror" entwickelt. Dieses Skript kann mit kompromittierten AWS-Anmeldeinformationen verwendet werden, um das Spiegeln für alle unterstützten EC2-Instanzen in einem Ziel-VPC einzurichten. Es ist wichtig zu beachten, dass VPC Traffic Mirroring nur von EC2-Instanzen unterstützt wird, die vom AWS Nitro-System betrieben werden, und das VPC-Spiegelziel muss sich im selben VPC wie die gespiegelten Hosts befinden.

Die Auswirkungen des bösartigen VPC-Verkehrsspiegels können erheblich sein, da es Angreifern ermöglicht, auf sensible Informationen zuzugreifen, die innerhalb von VPCs übertragen werden. Die Wahrscheinlichkeit eines solchen bösartigen Spiegelns ist hoch, wenn man bedenkt, dass Klartextverkehr durch VPCs fließt. Viele Unternehmen verwenden Klartextprotokolle innerhalb ihrer internen Netzwerke aus Leistungsgründen, in der Annahme, dass herkömmliche Man-in-the-Middle-Angriffe nicht möglich sind.

Für weitere Informationen und Zugriff auf das malmirror-Skript finden Sie es in unserem GitHub-Repository. Das Skript automatisiert und vereinfacht den Prozess, sodass er für offensive Forschungszwecke schnell, einfach und wiederholbar ist.