AWS - EC2 Persistence
EC2
더 많은 정보는 확인하세요:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum보안 그룹 연결 추적 지속성
수비대가 EC2 인스턴스가 침투당했다는 것을 발견하면 기계의 네트워크를 격리하려고 할 것입니다. 이를 위해 명시적 Deny NACL을 사용할 수 있습니다(그러나 NACL은 전체 서브넷에 영향을 미칩니다) 또는 모든 종류의 인바운드 또는 아웃바운드 트래픽을 허용하지 않도록 보안 그룹을 변경할 수 있습니다.
만약 공격자가 기계에서 발생한 역쉘을 가지고 있었다면, 인바운드 또는 아웃바운드 트래픽을 허용하지 않도록 SG가 수정되더라도 보안 그룹 연결 추적 때문에 연결이 종료되지 않을 것입니다.
EC2 라이프사이클 관리자
이 서비스를 사용하면 AMI 및 스냅샷의 생성을 예약하고 심지어 다른 계정과 공유할 수 있습니다. 공격자는 모든 이미지 또는 모든 볼륨의 AMI 또는 스냅샷 생성을 매주 예약하고 자신의 계정과 공유할 수 있습니다.
예약된 인스턴스
매일, 매주 또는 매월 인스턴스를 예약할 수 있습니다. 공격자는 고권한 또는 흥미로운 액세스가 가능한 기계를 실행할 수 있습니다.
스팟 플릿 요청
스팟 인스턴스는 일반 인스턴스보다 저렴합니다. 공격자는 5년간의 작은 스팟 플릿 요청을 시작할 수 있으며, 자동 IP 할당 및 사용자 데이터를 사용하여 스팟 인스턴스가 시작될 때 공격자에게 IP 주소와 고권한 IAM 역할을 전송할 수 있습니다.
백도어 인스턴스
공격자는 인스턴스에 액세스하고 백도어를 설치할 수 있습니다:
예를 들어 전통적인 루트킷 사용
새로운 공개 SSH 키 추가 (EC2 권한 상승 옵션 확인)
사용자 데이터에 백도어 설치
백도어 시작 구성
사용된 AMI에 백도어 설치
사용자 데이터에 백도어 설치
키페어에 백도어 설치
VPN
VPN을 생성하여 공격자가 VPC를 통해 직접 연결할 수 있도록 합니다.
VPC 피어링
피어링 연결을 생성하여 피해자 VPC와 공격자 VPC 간에 연결을 설정하여 공격자가 피해자 VPC에 액세스할 수 있도록 합니다.
最終更新