AWS - EC2 Persistence
EC2
Per ulteriori informazioni controlla:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN EnumPersistenza del Tracciamento delle Connessioni del Gruppo di Sicurezza
Se un difensore scopre che una istanza EC2 è stata compromessa, probabilmente proverà a isolare la rete della macchina. Potrebbe farlo con un NACL Deny esplicito (ma i NACL influenzano l'intera subnet), o modificando il gruppo di sicurezza non permettendo alcun tipo di traffico in entrata o in uscita.
Se l'attaccante aveva un shell inverso originato dalla macchina, anche se il SG è modificato per non consentire il traffico in entrata o in uscita, la connessione non verrà interrotta a causa del Tracciamento delle Connessioni del Gruppo di Sicurezza.
Gestore del Ciclo di Vita EC2
Questo servizio permette di programmare la creazione di AMI e snapshot e persino condividerli con altri account. Un attaccante potrebbe configurare la generazione di AMI o snapshot di tutte le immagini o di tutti i volumi ogni settimana e condividerli con il suo account.
Istanze Pianificate
È possibile pianificare l'esecuzione di istanze giornaliere, settimanali o addirittura mensili. Un attaccante potrebbe eseguire una macchina con privilegi elevati o accesso interessante a cui potrebbe accedere.
Richiesta di Flotta Spot
Le istanze spot sono più economiche delle istanze regolari. Un attaccante potrebbe lanciare una piccola richiesta di flotta spot per 5 anni (ad esempio), con assegnazione automatica di IP e un user data che invia all'attaccante quando l'istanza spot inizia e l'indirizzo IP e con un ruolo IAM ad alto privilegio.
Istanze Backdoor
Un attaccante potrebbe ottenere accesso alle istanze e inserire backdoor in esse:
Utilizzando un rootkit tradizionale ad esempio
Aggiungendo una nuova chiave pubblica SSH (controlla le opzioni di privesc EC2)
Inserendo backdoor nel User Data
Configurazione di Lancio Backdoor
Inserire backdoor nell'AMI utilizzata
Inserire backdoor nel User Data
Inserire backdoor nella Coppia di Chiavi
VPN
Creare una VPN in modo che l'attaccante possa connettersi direttamente attraverso di essa alla VPC.
VPC Peering
Creare una connessione di peering tra la VPC della vittima e la VPC dell'attaccante in modo che possa accedere alla VPC della vittima.
Last updated