AWS - EC2 Persistence

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

EC2

Aby uzyskać więcej informacji, sprawdź:

pageAWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Trwałość Śledzenia Połączeń Grupy Zabezpieczeń

Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Może to zrobić za pomocą NACL Deny (ale NACLs wpływają na całą podsieć) lub zmieniając grupę zabezpieczeń, nie zezwalając na żaden rodzaj ruchu wchodzącego lub wychodzącego.

Jeśli atakujący miał odwrócony shell pochodzący z maszyny, nawet jeśli SG zostanie zmodyfikowana tak, aby nie zezwalać na ruch wchodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia Połączeń Grupy Zabezpieczeń.

Menedżer Cyklu Życia EC2

Usługa ta pozwala zaplanować tworzenie AMI i migawek oraz nawet udostępniać je innym kontom. Atakujący mógłby skonfigurować generowanie AMI lub migawek wszystkich obrazów lub wszystkich woluminów co tydzień i udostępniać je swojemu kontu.

Zaplanowane Instancje

Możliwe jest zaplanowanie uruchamiania instancji codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.

Żądanie Floty Spot

Instancje typu spot są tańsze niż zwykłe instancje. Atakujący mógłby uruchomić małe żądanie floty spot na 5 lat (na przykład) z automatycznym przypisaniem IP i danymi użytkownika, które wysyła do atakującego po uruchomieniu instancji spot oraz z wysokimi uprawnieniami IAM.

Instancje Tylnych Drzwi

Atakujący mógłby uzyskać dostęp do instancji i zainstalować w nich tylne drzwi:

Korzystając z tradycyjnego rootkita na przykład
Dodając nowy publiczny klucz SSH (sprawdź opcje privesc EC2)
Instalując tylne drzwi w danych użytkownika

Konfiguracja Uruchamiania Tylnych Drzwi

Instalowanie tylnych drzwi w używanej AMI
Instalowanie tylnych drzwi w danych użytkownika
Instalowanie tylnych drzwi w parze kluczy

VPN

Utwórz VPN, dzięki czemu atakujący będzie mógł łączyć się bezpośrednio z VPC.

Peering VPC

Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, dzięki czemu będzie mógł uzyskać dostęp do VPC ofiary.

Nauka hakowania AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLANY SUBSKRYPCYJNE!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na GitHubie.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 1 month ago