AWS - Malicious VPC Mirror
हमले के विवरण के लिए https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws देखें!
एक बादल पर्यावरण में पैशिव नेटवर्क जांच करना कठिन रहा है, नेटवर्क ट्रैफिक को मॉनिटर करने के लिए प्रमुख विन्यास परिवर्तनों की आवश्यकता थी। हालांकि, AWS ने इस प्रक्रिया को सरल बनाने के लिए "VPC ट्रैफिक मिररिंग" नामक एक नई सुविधा पेश की है। VPC ट्रैफिक मिररिंग के साथ, VPC के भीतर नेटवर्क ट्रैफिक को डुप्लिकेट किया जा सकता है बिना किसी सॉफ़्टवेयर को इंस्टॉल किए। इस डुप्लिकेट किए गए ट्रैफिक को नेटवर्क इन्ट्रूजन डिटेक्शन सिस्टम (IDS) के लिए विश्लेषण के लिए भेजा जा सकता है।
VPC ट्रैफिक को मिरर करने और बाहर निकालने के लिए आवश्यक बुनियादी ढांचे को स्वचालित रूप से स्थापित करने की आवश्यकता को पूरा करने के लिए हमने "malmirror" नामक प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट विकसित किया है। इस स्क्रिप्ट का उपयोग कंप्रोमाइज़्ड AWS क्रेडेंशियल्स के साथ किया जा सकता है ताकि लक्षित VPC में समर्थित सभी EC2 इंस्टेंस के लिए मिररिंग सेट किया जा सके। यह महत्वपूर्ण है कि VPC ट्रैफिक मिररिंग केवल AWS नाइट्रो सिस्टम द्वारा संचालित EC2 इंस्टेंस द्वारा समर्थित है, और मिररिंग होस्ट के साथ समर्पित VPC मिरर लक्ष्य एक ही VPC के भीतर होना चाहिए।
दुर्भाग्यपूर्ण VPC ट्रैफिक मिररिंग का प्रभाव महत्वपूर्ण हो सकता है, क्योंकि यह हमलावरों को VPC के भीतर भेजी जाने वाली संवेदनशील जानकारी तक पहुंचने की अनुमति देता है। ऐसी दुर्भाग्यपूर्ण मिररिंग की संभावना उच्च है, जिसे विचार में रखते हुए कि VPC के भीतर क्लियरटेक्स्ट ट्रैफिक की धारणा करने वाली कई कंपनियां अंतर्निहित नेटवर्क्स के लिए क्लियरटेक्स्ट प्रोटोकॉल का उपयोग करती हैं, यह मानते हुए कि पारंपरिक मैन-इन-द-मिडिल हमले संभव नहीं हैं।
अधिक जानकारी और malmirror स्क्रिप्ट तक पहुंच के लिए, इसे हमारे GitHub रिपॉजिटरी पर पाया जा सकता है। यह स्क्रिप्ट प्रक्रिया को स्वचालित और सुगम बनाता है, जिससे यह त्वरित, सरल और दोहराया जा सके अभियांत्रिकी अनुसंधान के उद्देश्यों के लिए।
Last updated
