AWS - ECS Post Exploitation

ECS

더 많은 정보는 다음을 확인하세요:

호스트 IAM 역할

ECS에서는 IAM 역할을 작업에 할당할 수 있습니다. 작업이 EC2 인스턴스 내에서 실행되는 경우, EC2 인스턴스에는 다른 IAM 역할이 연결됩니다. 이는 ECS 인스턴스를 침투하면 잠재적으로 ECR 및 EC2 인스턴스에 연결된 IAM 역할을 얻을 수 있다는 것을 의미합니다. 해당 자격 증명을 얻는 방법에 대한 자세한 정보는 다음을 확인하세요:

노드로 권한 상승하여 다른 컨테이너 자격 증명 및 비밀 정보 탈취

게다가, EC2는 ECs 작업을 실행하기 위해 도커를 사용하므로 노드로 탈출하거나 도커 소켓에 액세스할 수 있다면 실행 중인 다른 컨테이너를 확인하고 심지어 그 안으로 들어가서 연결된 IAM 역할을 탈취할 수 있습니다.

현재 호스트에서 컨테이너 실행하기

또한, EC2 인스턴스 역할은 일반적으로 EC2 인스턴스를 노드로 사용하는 EC2 인스턴스의 컨테이너 인스턴스 상태를 업데이트할 권한이 충분히 있습니다. 공격자는 인스턴스의 상태를 DRAINING으로 수정할 수 있으며, 그러면 ECS가 해당 인스턴스에서 모든 작업을 제거하고 REPLICA로 실행 중인 작업은 다른 인스턴스에서 실행되어 공격자 인스턴스 내부에서 IAM 역할 및 컨테이너 내부의 잠재적인 민감한 정보를 탈취할 수 있습니다.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

동일한 기술은 클러스터에서 EC2 인스턴스를 등록 해제함으로써 수행할 수도 있습니다. 이는 잠재적으로 덜 은밀하지만 작업이 다른 인스턴스에서 실행되도록 강제됩니다.

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

최종 기술은 ECS에게 작업 또는 컨테이너가 중지되었다고 알리는 것입니다. 이 작업을 수행하는 데 사용할 수 있는 API는 총 3가지가 있습니다:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

ECR 컨테이너에서 민감한 정보 도용

EC2 인스턴스는 아마도 ecr:GetAuthorizationToken 권한을 가지고 있어서 이미지를 다운로드할 수 있습니다 (이미지 안에 민감한 정보를 찾을 수 있습니다).