AWS - DynamoDB Persistence
DynamoDB
Aby uzyskać więcej informacji, odwiedź:
pageAWS - DynamoDB EnumTriggery DynamoDB z tylnymi drzwiami Lambda
Korzystając z triggerów DynamoDB, atakujący może stworzyć ukryte tylne drzwi poprzez powiązanie złośliwej funkcji Lambda z tabelą. Funkcja Lambda może być wywoływana, gdy element jest dodawany, modyfikowany lub usuwany, co pozwala atakującemu na wykonanie dowolnego kodu w ramach konta AWS.
Aby utrzymać trwałość, atakujący może tworzyć lub modyfikować elementy w tabeli DynamoDB, co spowoduje wywołanie złośliwej funkcji Lambda. Pozwala to atakującemu na wykonanie kodu w ramach konta AWS bez bezpośredniej interakcji z funkcją Lambda.
DynamoDB jako kanał C2
Atakujący może wykorzystać tabelę DynamoDB jako kanał komend i kontroli (C2), tworząc elementy zawierające polecenia i korzystając z skompromitowanych instancji lub funkcji Lambda do pobierania i wykonania tych poleceń.
Zainfekowane instancje lub funkcje Lambda mogą okresowo sprawdzać tabelę C2 w poszukiwaniu nowych poleceń, wykonywać je, a opcjonalnie raportować wyniki z powrotem do tabeli. Pozwala to atakującemu utrzymać trwałość i kontrolę nad zainfekowanymi zasobami.
Last updated