AWS - DynamoDB Persistence
DynamoDB
Para más información accede a:
pageAWS - DynamoDB EnumDisparadores de DynamoDB con Puerta Trasera de Lambda
Utilizando disparadores de DynamoDB, un atacante puede crear una puerta trasera sigilosa asociando una función Lambda maliciosa con una tabla. La función Lambda puede ser activada cuando se añade, modifica o elimina un elemento, permitiendo al atacante ejecutar código arbitrario dentro de la cuenta de AWS.
Para mantener la persistencia, el atacante puede crear o modificar elementos en la tabla DynamoDB, lo que activará la función Lambda maliciosa. Esto permite al atacante ejecutar código dentro de la cuenta de AWS sin interacción directa con la función Lambda.
DynamoDB como Canal C2
Un atacante puede utilizar una tabla DynamoDB como un canal de comando y control (C2) creando elementos que contienen comandos y utilizando instancias comprometidas o funciones Lambda para recuperar y ejecutar estos comandos.
Las instancias comprometidas o las funciones Lambda pueden verificar periódicamente la tabla C2 en busca de nuevos comandos, ejecutarlos y opcionalmente informar los resultados de vuelta a la tabla. Esto permite al atacante mantener la persistencia y el control sobre los recursos comprometidos.
Última actualización