AWS - EC2 Persistence
EC2
Para obtener más información, consulta:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN EnumPersistencia de Seguimiento de Conexiones de Grupo de Seguridad
Si un defensor descubre que una instancia EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Podría hacerlo con un NACL de Denegación explícita (pero los NACL afectan a toda la subred), o cambiando el grupo de seguridad para no permitir ningún tipo de tráfico de entrada o salida.
Si el atacante tenía un shell inverso originado desde la máquina, incluso si el SG se modifica para no permitir tráfico de entrada o salida, la conexión no se cerrará debido a Seguimiento de Conexiones de Grupo de Seguridad.
Administrador de Ciclo de Vida de EC2
Este servicio permite programar la creación de AMIs y snapshots e incluso compartirlos con otras cuentas. Un atacante podría configurar la generación de AMIs o snapshots de todas las imágenes o todos los volúmenes cada semana y compartirlos con su cuenta.
Instancias Programadas
Es posible programar instancias para que se ejecuten diariamente, semanalmente o incluso mensualmente. Un atacante podría ejecutar una máquina con altos privilegios o acceso interesante donde pudiera acceder.
Solicitud de Flota Spot
Las instancias spot son más baratas que las instancias regulares. Un atacante podría lanzar una pequeña solicitud de flota spot por 5 años (por ejemplo), con asignación de IP automática y un user data que envíe al atacante cuando la instancia spot se inicie y la dirección IP y con un rol IAM de alto privilegio.
Instancias con Puerta Trasera
Un atacante podría obtener acceso a las instancias y ponerles una puerta trasera:
Utilizando un rootkit tradicional, por ejemplo
Agregando una nueva clave SSH pública (consulta las opciones de privesc de EC2](../../aws-security/aws-privilege-escalation/aws-ec2-privesc.md))
Poniendo una puerta trasera en el User Data
Configuración de Lanzamiento con Puerta Trasera
Poner una puerta trasera en la AMI utilizada
Poner una puerta trasera en el User Data
Poner una puerta trasera en el Par de Claves
VPN
Crear una VPN para que el atacante pueda conectarse directamente a través de ella a la VPC.
VPC Peering
Crear una conexión de peering entre la VPC de la víctima y la VPC del atacante para que pueda acceder a la VPC de la víctima.
Última actualización