AWS - EC2 Persistence
EC2
Aby uzyskać więcej informacji, sprawdź:
pageAWS - EC2, EBS, ELB, SSM, VPC & VPN EnumTrwałość Śledzenia Połączeń Grupy Zabezpieczeń
Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą NACL Deny (ale NACLs wpływają na całą podsieć) lub zmieniając grupę zabezpieczeń, nie zezwalając na żaden rodzaj ruchu wchodzącego lub wychodzącego.
Jeśli atakujący miał odwrócony shell pochodzący z maszyny, nawet jeśli SG zostanie zmodyfikowana tak, aby nie zezwalać na ruch wchodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia Połączeń Grupy Zabezpieczeń.
Menedżer Cyklu Życia EC2
Usługa ta pozwala zaplanować tworzenie AMI i migawek oraz nawet udostępniać je innym kontom. Atakujący mógłby skonfigurować generowanie AMI lub migawek wszystkich obrazów lub wszystkich woluminów co tydzień i udostępniać je swojemu kontu.
Zaplanowane Instancje
Możliwe jest zaplanowanie uruchamiania instancji codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.
Żądanie Floty Spot
Instancje typu spot są tańsze niż zwykłe instancje. Atakujący mógłby uruchomić małe żądanie floty spot na 5 lat (na przykład) z automatycznym przypisaniem IP i danymi użytkownika, które wysyła do atakującego po uruchomieniu instancji spot oraz z wysokimi uprawnieniami IAM.
Instancje Tylnych Drzwi
Atakujący mógłby uzyskać dostęp do instancji i zainstalować w nich tylne drzwi:
Korzystając z tradycyjnego rootkita na przykład
Dodając nowy publiczny klucz SSH (sprawdź opcje privesc EC2)
Instalując tylne drzwi w danych użytkownika
Konfiguracja Uruchamiania Tylnych Drzwi
Instalowanie tylnych drzwi w używanej AMI
Instalowanie tylnych drzwi w danych użytkownika
Instalowanie tylnych drzwi w parze kluczy
VPN
Utwórz VPN, dzięki czemu atakujący będzie mógł łączyć się bezpośrednio z VPC.
Peering VPC
Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, dzięki czemu będzie mógł uzyskać dostęp do VPC ofiary.
Last updated