AWS - EC2 Persistence
EC2
Pour plus d'informations, consultez :
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN EnumPersistance de suivi de connexion du groupe de sécurité
Si un défenseur découvre qu'une instance EC2 a été compromise, il essaiera probablement de isoler le réseau de la machine. Il pourrait le faire avec un NACL de refus explicite (mais les NACL affectent tout le sous-réseau), ou en changeant le groupe de sécurité ne permettant aucun type de trafic entrant ou sortant.
Si l'attaquant avait un shell inversé originaire de la machine, même si le SG est modifié pour ne pas autoriser de trafic entrant ou sortant, la connexion ne sera pas interrompue en raison du Suivi de connexion du groupe de sécurité.
Gestionnaire de cycle de vie EC2
Ce service permet de planifier la création d'AMIs et de snapshots et même de les partager avec d'autres comptes. Un attaquant pourrait configurer la génération d'AMIs ou de snapshots de toutes les images ou de tous les volumes chaque semaine et les partager avec son compte.
Instances planifiées
Il est possible de planifier des instances pour s'exécuter quotidiennement, hebdomadairement ou même mensuellement. Un attaquant pourrait exécuter une machine avec des privilèges élevés ou un accès intéressant où il pourrait accéder.
Demande de flotte Spot
Les instances Spot sont moins chères que les instances régulières. Un attaquant pourrait lancer une petite demande de flotte Spot pour 5 ans (par exemple), avec attribution automatique d'IP et un user data qui envoie à l'attaquant lorsque l'instance Spot démarre et l'adresse IP et avec un rôle IAM à privilèges élevés.
Instances de porte dérobée
Un attaquant pourrait accéder aux instances et les piéger :
En utilisant un rootkit traditionnel par exemple
Ajoutant une nouvelle clé SSH publique (vérifiez les options de privilège EC2)
Piégeant les User Data
Configuration de lancement de porte dérobée
Piéger l'AMI utilisée
Piéger les User Data
Piéger la paire de clés
VPN
Créez un VPN pour que l'attaquant puisse se connecter directement à travers lui au VPC.
Interconnexion de VPC
Créez une connexion d'interconnexion entre le VPC de la victime et le VPC de l'attaquant afin qu'il puisse accéder au VPC de la victime.
Dernière mise à jour