AWS - EC2 Persistence

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el swag oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

EC2

Para obtener más información, consulta:

pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Persistencia de Seguimiento de Conexiones de Grupo de Seguridad

Si un defensor descubre que una instancia EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Podría hacerlo con un NACL de Denegación explícita (pero los NACL afectan a toda la subred), o cambiando el grupo de seguridad para no permitir ningún tipo de tráfico de entrada o salida.

Si el atacante tenía un shell inverso originado desde la máquina, incluso si el SG se modifica para no permitir tráfico de entrada o salida, la conexión no se cerrará debido a Seguimiento de Conexiones de Grupo de Seguridad.

Administrador de Ciclo de Vida de EC2

Este servicio permite programar la creación de AMIs y snapshots e incluso compartirlos con otras cuentas. Un atacante podría configurar la generación de AMIs o snapshots de todas las imágenes o todos los volúmenes cada semana y compartirlos con su cuenta.

Instancias Programadas

Es posible programar instancias para que se ejecuten diariamente, semanalmente o incluso mensualmente. Un atacante podría ejecutar una máquina con altos privilegios o acceso interesante donde pudiera acceder.

Solicitud de Flota Spot

Las instancias spot son más baratas que las instancias regulares. Un atacante podría lanzar una pequeña solicitud de flota spot por 5 años (por ejemplo), con asignación de IP automática y un user data que envíe al atacante cuando la instancia spot se inicie y la dirección IP y con un rol IAM de alto privilegio.

Instancias con Puerta Trasera

Un atacante podría obtener acceso a las instancias y ponerles una puerta trasera:

Utilizando un rootkit tradicional, por ejemplo
Agregando una nueva clave SSH pública (consulta las opciones de privesc de EC2](../../aws-security/aws-privilege-escalation/aws-ec2-privesc.md))
Poniendo una puerta trasera en el User Data

Configuración de Lanzamiento con Puerta Trasera

Poner una puerta trasera en la AMI utilizada
Poner una puerta trasera en el User Data
Poner una puerta trasera en el Par de Claves

VPN

Crear una VPN para que el atacante pueda conectarse directamente a través de ella a la VPC.

VPC Peering

Crear una conexión de peering entre la VPC de la víctima y la VPC del atacante para que pueda acceder a la VPC de la víctima.

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el swag oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

AnteriorAWS - DynamoDB Persistence SiguienteAWS - ECR Persistence

Última actualización hace 1 mes