EC2

詳細については、以下をチェックしてください：

セキュリティグループ接続トラッキングの永続化

EC2インスタンスが侵害されたことがわかった場合、防御者はおそらくそのマシンのネットワークを分離しようとします。これは明示的なDeny NACL（ただし、NACLはサブネット全体に影響を与えます）またはどのようなインバウンドまたはアウトバウンドトラフィックも許可しないようにセキュリティグループを変更することで行うことができます。

攻撃者がそのマシンから発信されたリバースシェルを持っていた場合、セキュリティグループが変更されてもインバウンドまたはアウトバウンドトラフィックを許可しないようになっても、セキュリティグループ接続トラッキングにより接続は切断されません。

EC2ライフサイクルマネージャー

このサービスは、AMIとスナップショットの作成をスケジュールし、さらに他のアカウントと共有することができます。 攻撃者は、すべてのイメージまたはすべてのボリュームのAMIまたはスナップショットの生成を毎週行い、自分のアカウントと共有することができます。

スケジュールされたインスタンス

インスタンスを毎日、毎週、または月次に実行することができます。攻撃者は、高い特権または興味深いアクセスが可能なマシンを実行することができます。

スポットフリートリクエスト

スポットインスタンスは通常のインスタンスよりも安価です。攻撃者は、5年間の小さなスポットフリートリクエストを起動し、自動IP割り当てとスポットインスタンスの開始時に攻撃者に送信するIPアドレスと高特権IAMロールを持つユーザーデータを設定することができます。

バックドアインスタンス

攻撃者はインスタンスにアクセスしてバックドアを設置することができます：

• 例えば、従来のrootkitを使用する

• 新しいパブリックSSHキーを追加する（EC2特権昇格オプションを確認してください）

• ユーザーデータにバックドアを設置する

バックドア起動構成

• 使用されたAMIにバックドアを設置する

• ユーザーデータにバックドアを設置する

• キーペアにバックドアを設置する

VPN

VPNを作成して、攻撃者が直接VPCに接続できるようにします。

VPCピアリング

被害者VPCと攻撃者VPCの間にピアリング接続を作成して、攻撃者が被害者VPCにアクセスできるようにします。