Consulta https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws para más detalles sobre el ataque!

La inspección pasiva de la red en un entorno en la nube ha sido desafiante, requiriendo cambios de configuración importantes para monitorear el tráfico de red. Sin embargo, AWS ha introducido una nueva característica llamada "VPC Traffic Mirroring" para simplificar este proceso. Con VPC Traffic Mirroring, el tráfico de red dentro de las VPC puede ser duplicado sin instalar ningún software en las instancias mismas. Este tráfico duplicado puede ser enviado a un sistema de detección de intrusiones en la red (IDS) para su análisis.

Para abordar la necesidad de implementación automatizada de la infraestructura necesaria para reflejar y exfiltrar el tráfico de la VPC, hemos desarrollado un script de prueba de concepto llamado "malmirror". Este script puede ser utilizado con credenciales de AWS comprometidas para configurar el reflejo para todas las instancias de EC2 admitidas en una VPC objetivo. Es importante tener en cuenta que el reflejo de tráfico de VPC solo es compatible con las instancias de EC2 alimentadas por el sistema Nitro de AWS, y el objetivo de espejo de VPC debe estar dentro de la misma VPC que los hosts reflejados.

El impacto del reflejo malicioso del tráfico de VPC puede ser significativo, ya que permite a los atacantes acceder a información sensible transmitida dentro de las VPC. La probabilidad de dicho reflejo malicioso es alta, considerando la presencia de tráfico en texto claro que fluye a través de las VPC. Muchas empresas utilizan protocolos en texto claro dentro de sus redes internas por razones de rendimiento, asumiendo que los ataques tradicionales de intermediario no son posibles.

Para obtener más información y acceder al script malmirror, se puede encontrar en nuestro repositorio de GitHub. El script automatiza y agiliza el proceso, haciéndolo rápido, simple y repetible para fines de investigación ofensiva.