공격에 대한 자세한 내용은 https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws 를 확인하세요!

클라우드 환경에서의 수동 네트워크 검사는 도전적이며 네트워크 트래픽을 모니터링하기 위해 주요 구성 변경이 필요합니다. 그러나 AWS에서는 이 프로세스를 간소화하기 위해 "VPC 트래픽 미러링"이라는 새로운 기능을 도입했습니다. VPC 트래픽 미러링을 사용하면 VPC 내의 네트워크 트래픽을 인스턴스에 소프트웨어를 설치하지 않고도 복제할 수 있습니다. 이 복제된 트래픽은 네트워크 침입 탐지 시스템 (IDS)로 분석할 수 있습니다.

VPC 트래픽 미러링 및 VPC 트래픽을 미러링하고 유출하기 위한 필요한 인프라를 자동으로 배포하기 위해 "malmirror"라는 프로프 오브 컨셉 스크립트를 개발했습니다. 이 스크립트는 Compromised AWS 자격 증명을 사용하여 대상 VPC의 모든 지원되는 EC2 인스턴스에 대한 미러링을 설정할 수 있습니다. VPC 트래픽 미러링은 AWS Nitro 시스템으로 구동되는 EC2 인스턴스에서만 지원되며, VPC 미러 대상은 미러링된 호스트와 동일한 VPC 내에 있어야 합니다.

악의적인 VPC 트래픽 미러링의 영향은 중대할 수 있으며, VPC 내에서 전송되는 민감한 정보에 액세스할 수 있게 해줍니다. 악의적인 미러링의 가능성은 높은 편이며, VPC를 통해 클리어텍스트 트래픽이 흐르고 있다는 점을 고려하면 더욱 그렇습니다. 많은 기업은 내부 네트워크에서 성능상의 이유로 클리어텍스트 프로토콜을 사용하며, 전통적인 중간자 공격이 불가능하다고 가정합니다.

더 많은 정보 및 malmirror 스크립트에 대한 액세스는 저희 GitHub 저장소에서 찾을 수 있습니다. 이 스크립트는 공격적인 연구 목적을 위해 프로세스를 빠르고 간단하며 반복 가능하게 자동화하고 간소화합니다.