AWS - Malicious VPC Mirror

공격에 대한 자세한 내용은 여기 를 확인하세요!

클라우드 환경에서의 수동 네트워크 검사는 도전적이며 네트워크 트래픽을 모니터링하기 위해 주요 구성 변경이 필요했습니다. 그러나 AWS에서는 이 프로세스를 간소화하기 위해 "VPC 트래픽 미러링"이라는 새로운 기능을 도입했습니다. VPC 트래픽 미러링을 사용하면 인스턴스에 소프트웨어를 설치할 필요 없이 VPC 내의 네트워크 트래픽을 복제할 수 있습니다. 이 복제된 트래픽은 네트워크 침입 탐지 시스템 (IDS)으로 분석할 수 있습니다.

VPC 트래픽 미러링 및 VPC 트래픽을 미러링하고 유출하기 위한 필요한 인프라를 자동으로 배포하기 위해 "malmirror"라는 개념 증명 스크립트를 개발했습니다. 이 스크립트는 Compromised AWS credentials를 사용하여 대상 VPC의 모든 지원되는 EC2 인스턴스에 대한 미러링을 설정하는 데 사용할 수 있습니다. VPC 트래픽 미러링은 AWS Nitro 시스템으로 구동되는 EC2 인스턴스에서만 지원되며, VPC 미러 대상은 미러링된 호스트와 동일한 VPC 내에 있어야 합니다.

악의적인 VPC 트래픽 미러링의 영향은 VPC 내에서 전송되는 민감한 정보에 액세스할 수 있도록 하므로 상당할 수 있습니다. 악의적인 미러링의 가능성은 높은데, VPC를 통해 평문 트래픽이 흐르기 때문입니다. 많은 기업은 내부 네트워크에서 성능상의 이유로 평문 프로토콜을 사용하며, 전통적인 중간자 공격이 불가능하다고 가정합니다.

자세한 정보 및 malmirror 스크립트에 대한 액세스는 GitHub 저장소에서 찾을 수 있습니다. 이 스크립트는 공격적인 연구 목적을 위해 프로세스를 빠르고 간단하며 반복 가능하게 자동화하고 간소화합니다.