EC2

더 많은 정보는 확인하세요:

보안 그룹 연결 추적 지속성

수비대가 EC2 인스턴스가 침투당했다는 것을 발견하면 기계의 네트워크를 격리하려고 할 것입니다. 이를 위해 명시적 Deny NACL을 사용할 수 있습니다(그러나 NACL은 전체 서브넷에 영향을 미칩니다) 또는 모든 종류의 인바운드 또는 아웃바운드 트래픽을 허용하지 않도록 보안 그룹을 변경할 수 있습니다.

만약 공격자가 기계에서 발생한 역쉘을 가지고 있었다면, 인바운드 또는 아웃바운드 트래픽을 허용하지 않도록 SG가 수정되더라도 보안 그룹 연결 추적 때문에 연결이 종료되지 않을 것입니다.

EC2 라이프사이클 관리자

이 서비스를 사용하면 AMI 및 스냅샷의 생성을 예약하고 심지어 다른 계정과 공유할 수 있습니다. 공격자는 모든 이미지 또는 모든 볼륨의 AMI 또는 스냅샷 생성을 매주 예약하고 자신의 계정과 공유할 수 있습니다.

예약된 인스턴스

매일, 매주 또는 매월 인스턴스를 예약할 수 있습니다. 공격자는 고권한 또는 흥미로운 액세스가 가능한 기계를 실행할 수 있습니다.

스팟 플릿 요청

스팟 인스턴스는 일반 인스턴스보다 저렴합니다. 공격자는 5년간의 작은 스팟 플릿 요청을 시작할 수 있으며, 자동 IP 할당 및 사용자 데이터를 사용하여 스팟 인스턴스가 시작될 때 공격자에게 IP 주소와 고권한 IAM 역할을 전송할 수 있습니다.

백도어 인스턴스

공격자는 인스턴스에 액세스하고 백도어를 설치할 수 있습니다:

• 예를 들어 전통적인 루트킷 사용

• 새로운 공개 SSH 키 추가 (EC2 권한 상승 옵션 확인)

• 사용자 데이터에 백도어 설치

백도어 시작 구성

• 사용된 AMI에 백도어 설치

• 사용자 데이터에 백도어 설치

• 키페어에 백도어 설치

VPN

VPN을 생성하여 공격자가 VPC를 통해 직접 연결할 수 있도록 합니다.

VPC 피어링

피어링 연결을 생성하여 피해자 VPC와 공격자 VPC 간에 연결을 설정하여 공격자가 피해자 VPC에 액세스할 수 있도록 합니다.