AWS - Nitro Enum

Aprende y practica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.

Información Básica

AWS Nitro es un conjunto de tecnologías innovadoras que forman la plataforma subyacente para las instancias de AWS EC2. Introducido por Amazon para mejorar la seguridad, el rendimiento y la fiabilidad, Nitro utiliza componentes de hardware personalizados y un hipervisor ligero. Abstrae gran parte de la funcionalidad de virtualización tradicional a hardware y software dedicados, minimizando la superficie de ataque y mejorando la eficiencia de los recursos. Al descargar las funciones de virtualización, Nitro permite que las instancias EC2 ofrezcan un rendimiento casi de metal desnudo, lo que es particularmente beneficioso para aplicaciones que requieren muchos recursos. Además, el Nitro Security Chip asegura específicamente la seguridad del hardware y el firmware, consolidando aún más su arquitectura robusta.

Nitro Enclaves

AWS Nitro Enclaves proporciona un entorno de cómputo seguro y aislado dentro de las instancias de Amazon EC2, diseñado específicamente para procesar datos altamente sensibles. Aprovechando el AWS Nitro System, estos enclaves aseguran un aislamiento y seguridad robustos, ideales para manejar información confidencial como PII o registros financieros. Presentan un entorno minimalista, reduciendo significativamente el riesgo de exposición de datos. Además, Nitro Enclaves soporta la atestación criptográfica, permitiendo a los usuarios verificar que solo el código autorizado se está ejecutando, crucial para mantener estrictos estándares de cumplimiento y protección de datos.

Las imágenes de Nitro Enclave se ejecutan desde dentro de las instancias EC2 y no puedes ver desde la consola web de AWS si una instancia EC2 está ejecutando imágenes en Nitro Enclave o no.

Instalación de Nitro Enclave CLI

Sigue todas las instrucciones de la documentación. Sin embargo, estas son las más importantes:

# Install tools
sudo amazon-linux-extras install aws-nitro-enclaves-cli -y
sudo yum install aws-nitro-enclaves-cli-devel -y

# Config perms
sudo usermod -aG ne $USER
sudo usermod -aG docker $USER

# Check installation
nitro-cli --version

# Start and enable the Nitro Enclaves allocator service.
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

Imágenes de Nitro Enclave

Las imágenes que puedes ejecutar en Nitro Enclave están basadas en imágenes de docker, por lo que puedes crear tus imágenes de Nitro Enclave a partir de imágenes de docker como:

# You need to have the docker image accesible in your running local registry
# Or indicate the full docker image URL to access the image
nitro-cli build-enclave --docker-uri <docker-img>:<tag> --output-file nitro-img.eif

Como puedes ver, las imágenes de Nitro Enclave usan la extensión eif (Enclave Image File).

La salida se verá similar a:

Using the locally available Docker image...
Enclave Image successfully created.
{
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}

Ejecutar una Imagen

Según la documentación, para ejecutar una imagen de enclave necesitas asignarle una memoria de al menos 4 veces el tamaño del archivo eif. Es posible configurar los recursos predeterminados para darle en el archivo

/etc/nitro_enclaves/allocator.yaml

¡Recuerda siempre que necesitas reservar algunos recursos para la instancia principal de EC2 también!

Después de conocer los recursos a asignar a una imagen e incluso haber modificado el archivo de configuración, es posible ejecutar una imagen de enclave con:

# Restart the service so the new default values apply
sudo systemctl start nitro-enclaves-allocator.service && sudo systemctl enable nitro-enclaves-allocator.service

# Indicate the CPUs and memory to give
nitro-cli run-enclave --cpu-count 2 --memory 3072 --eif-path hello.eif --debug-mode --enclave-cid 16

Enumerar Enclaves

Si comprometes un host EC2, es posible obtener una lista de imágenes de enclave en ejecución con:

nitro-cli describe-enclaves

Es imposible obtener un shell dentro de una imagen de enclave en ejecución porque ese es el propósito principal del enclave, sin embargo, si usaste el parámetro --debug-mode, es posible obtener el stdout con:

ENCLAVE_ID=$(nitro-cli describe-enclaves | jq -r ".[0].EnclaveID")
nitro-cli console --enclave-id ${ENCLAVE_ID}

Terminate Enclaves

Si un atacante compromete una instancia EC2, por defecto no podrá obtener un shell dentro de ellas, pero podrá terminarlas con:

nitro-cli terminate-enclave --enclave-id ${ENCLAVE_ID}

Vsocks

La única forma de comunicarse con una enclave ejecutando una imagen es usando vsocks.

Virtual Socket (vsock) es una familia de sockets en Linux diseñada específicamente para facilitar la comunicación entre máquinas virtuales (VMs) y sus hipervisores, o entre las propias VMs. Vsock permite una comunicación eficiente y bidireccional sin depender de la pila de red del host. Esto hace posible que las VMs se comuniquen incluso sin configuraciones de red, usando un ID de Contexto (CID) de 32 bits y números de puerto para identificar y gestionar conexiones. La API de vsock soporta tanto tipos de socket de flujo como de datagrama, similar a TCP y UDP, proporcionando una herramienta versátil para aplicaciones a nivel de usuario en entornos virtuales.

Por lo tanto, una dirección vsock se ve así: <CID>:<Port>

Para encontrar los CIDs de las imágenes en ejecución en el enclave, puedes ejecutar el siguiente comando y obtener el EnclaveCID:

nitro-cli describe-enclaves

[
{
"EnclaveName": "secure-channel-example",
"EnclaveID": "i-0bc274f83ade02a62-enc18ef3d09c886748",
"ProcessID": 10131,
    "EnclaveCID": 16,
    "NumberOfCPUs": 2,
"CPUIDs": [
1,
3
],
"MemoryMiB": 1024,
"State": "RUNNING",
"Flags": "DEBUG_MODE",
"Measurements": {
"HashAlgorithm": "Sha384 { ... }",
"PCR0": "e199261541a944a93129a52a8909d29435dd89e31299b59c371158fc9ab3017d9c450b0a580a487e330b4ac691943284",
"PCR1": "bcdf05fefccaa8e55bf2c8d6dee9e79bbff31e34bf28a99aa19e6b29c37ee80b214a414b7607236edf26fcb78654e63f",
"PCR2": "2e1fca1dbb84622ec141557dfa971b4f8ea2127031b264136a20278c43d1bba6c75fea286cd4de9f00450b6a8db0e6d3"
}
}
]

¡Ten en cuenta que desde el host no hay forma de saber si un CID está exponiendo algún puerto! A menos que uses algún escáner de puertos vsock como https://github.com/carlospolop/Vsock-scanner.

Vsock Server/Listener

Encuentra aquí un par de ejemplos:

https://github.com/aws-samples/aws-nitro-enclaves-workshop/blob/main/resources/code/my-first-enclave/secure-local-channel/server.py

Simple Python Listener

```python #!/usr/bin/env python3

From

https://medium.com/@F.DL/understanding-vsock-684016cf0eb0

import socket

CID = socket.VMADDR_CID_HOST PORT = 9999

s = socket.socket(socket.AF_VSOCK, socket.SOCK_STREAM) s.bind((CID, PORT)) s.listen() (conn, (remote_cid, remote_port)) = s.accept()

print(f"Connection opened by cid={remote_cid} port={remote_port}")

while True: buf = conn.recv(64) if not buf: break

print(f"Received bytes: {buf}")

</details>
```bash
# Using socat
socat VSOCK-LISTEN:<port>,fork EXEC:"echo Hello from server!"

Vsock Client

Ejemplos:

https://github.com/aws-samples/aws-nitro-enclaves-workshop/blob/main/resources/code/my-first-enclave/secure-local-channel/client.py

PreviousAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum NextAWS - VPC & Networking Basic Information

Last updated 1 month ago