AWS - EC2 Persistence
EC2
अधिक जानकारी के लिए देखें:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enumसुरक्षा समूह कनेक्शन ट्रैकिंग Persistence
यदि एक डिफेंडर को पता चलता है कि एक EC2 इंस्टेंस को कंप्रोमाइज़ किया गया है, तो वह शायद मशीन के नेटवर्क को अलग करने का प्रयास करेगा। वह इसे एक विशेष Deny NACL के साथ कर सकता है (लेकिन NACL पूरे सबनेट को प्रभावित करते हैं), या सुरक्षा समूह को बदलकर ऐसा कर सकता है जो किसी भी प्रकार के इनबाउंड या आउटबाउंड ट्रैफिक की अनुमति नहीं देता है।
यदि हमलावर को मशीन से उत्पन्न एक रिवर्स शेल होती है, तो यदि SG को संशोधित किया जाता है ताकि इनबाउंड या आउटबाउंड ट्रैफिक की अनुमति न दी जाए, तो सुरक्षा समूह कनेक्शन ट्रैकिंग के कारण कनेक्शन मर जाएगा नहीं होगा।
EC2 लाइफसाइकल मैनेजर
यह सेवा AMI और स्नैपशॉट के निर्माण को शेड्यूल करने और उन्हें अन्य खातों के साथ साझा करने की अनुमति देती है। एक हमलावर सभी छवियों या सभी वॉल्यूम के निर्माण या स्नैपशॉट को हर हफ्ते शेड्यूल कर सकता है और उन्हें अपने खाते के साथ साझा कर सकता है।
निर्धारित इंस्टेंसेस
दैनिक, साप्ताहिक या मासिक रूप से इंस्टेंसेस को निर्धारित करना संभव है। एक हमलावर उच्च विशेषाधिकार या दिलचस्प पहुंच वाली मशीन चला सकता है जहां उसे पहुंच मिल सकती है।
स्पॉट फ्लीट अनुरोध
स्पॉट इंस्टेंसेस नियमित इंस्टेंसेस से सस्ती होती हैं। एक हमलावर एक छोटी स्पॉट फ्लीट अनुरोध शुरू कर सकता है 5 साल के लिए (उदाहरण के लिए), स्वचालित IP आवंटन और एक उपयोगकर्ता डेटा जो हमलावर को भेजता है जब स्पॉट इंस्टेंस स्टार्ट होती है और IP पता और एक उच्च विशेषाधिकारी IAM रोल के साथ।
बैकडोर इंस्टेंसेस
एक हमलावर को इंस्टेंसेस तक पहुंच मिल सकती है और उन्हें बैकडोर कर सकती है:
एक पारंपरिक रूटकिट का उपयोग करके उदाहरण के लिए
एक नई सार्वजनिक SSH कुंजी जोड़ना (EC2 प्रिवेस्क विकल्पों की जांच करें)
उपयोगकर्ता डेटा को बैकडोर करना
बैकडोर लॉन्च कॉन्फ़िगरेशन
उपयोग की गई AMI को बैकडोर करें
उपयोगकर्ता डेटा को बैकडोर करें
कुंजी पेयर को बैकडोर करें
VPN
एक VPN बनाएं ताकि हमलावर VPC के माध्यम से सीधे कनेक्ट हो सके।
VPC Peering
हमलावर VPC और आक्रमक VPC के बीच एक पीयरिंग कनेक्शन बनाएं ताकि वह हमलावर VPC तक पहुंच सके।
Last updated