攻撃の詳細については こちら をチェックしてください！

クラウド環境でのパッシブネットワーク検査は困難であり、ネットワークトラフィックを監視するために大規模な構成変更が必要でした。しかし、AWSが導入した「VPC Traffic Mirroring」という新機能により、このプロセスが簡素化されました。VPC Traffic Mirroringを使用すると、VPC内のネットワークトラフィックをインスタンスにソフトウェアをインストールすることなく複製することができます。この複製されたトラフィックは、ネットワーク侵入検知システム（IDS）に分析するために送信できます。

VPCトラフィックをミラーリングし、VPCトラフィックを盗聴および外部送信するための必要なインフラストラクチャを自動化する必要性に対処するために、「malmirror」という概念実証スクリプトを開発しました。このスクリプトは、侵害されたAWS資格情報を使用して、対象のVPC内のすべてのサポートされているEC2インスタンスのミラーリングを設定するために使用できます。VPC Traffic Mirroringは、AWS Nitroシステムで動作するEC2インスタンスのみでサポートされており、VPCミラーターゲットは、ミラーリングされたホストと同じVPC内にある必要があります。

悪意のあるVPCトラフィックミラーリングの影響は重大であり、VPC内で送信される機密情報にアクセスできるようになります。クリアテキストトラフィックがVPCを流れていることを考慮すると、このような悪意のあるミラーリングの可能性は高いです。多くの企業は、内部ネットワークでパフォーマンス上の理由からクリアテキストプロトコルを使用しており、従来の中間者攻撃が不可能であると仮定しています。

詳細情報やmalmirrorスクリプトへのアクセスについては、当社のGitHubリポジトリで見つけることができます。このスクリプトは、攻撃的な研究目的のために迅速かつ簡単かつ繰り返し可能なプロセスを自動化し、合理化します。