AWS - EC2 Persistence

Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na githubie.

EC2

Aby uzyskać więcej informacji, sprawdź:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Trwałość Śledzenia Połączeń Grupy Zabezpieczeń

Jeśli obrońca odkryje, że instancja EC2 została skompromitowana, prawdopodobnie spróbuje izolować sieć maszyny. Mógłby to zrobić za pomocą NACL Deny (ale NACLs wpływają na całą podsieć) lub zmieniając grupę zabezpieczeń, nie pozwalając na żaden rodzaj ruchu przychodzącego lub wychodzącego.

Jeśli atakujący miał odwrócony shell pochodzący z maszyny, nawet jeśli SG zostanie zmodyfikowana tak, aby nie zezwalać na ruch przychodzący lub wychodzący, połączenie nie zostanie zakończone z powodu Śledzenia Połączeń Grupy Zabezpieczeń.

Menedżer Cyklu Życia EC2

Usługa ta pozwala zaplanować tworzenie AMI i migawek oraz nawet udostępniać je innym kontom. Atakujący mógłby skonfigurować generowanie AMI lub migawek wszystkich obrazów lub wszystkich woluminów co tydzień i udostępniać je swojemu kontu.

Zaplanowane Instancje

Możliwe jest zaplanowanie uruchamiania instancji codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchomić maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby uzyskać dostęp.

Żądanie Floty Spot

Instancje typu spot są tańsze niż zwykłe instancje. Atakujący mógłby uruchomić małe żądanie floty spot na 5 lat (na przykład), z automatycznym przypisaniem IP i danymi użytkownika, które wysyła do atakującego po uruchomieniu instancji spot oraz z wysokimi uprawnieniami IAM.

Instancje Tylnych Drzwi

Atakujący mógłby uzyskać dostęp do instancji i zainstalować w nich tylnie drzwi:

Korzystając z tradycyjnego rootkita na przykład
Dodając nowy publiczny klucz SSH (sprawdź opcje przechodzenia do przodu EC2)
Instalując tylnie drzwi w danych użytkownika

Konfiguracja Uruchamiania Tylnych Drzwi

Instalowanie tylnych drzwi w używanej AMI
Instalowanie tylnych drzwi w danych użytkownika
Instalowanie tylnych drzwi w parze kluczy

VPN

Utwórz VPN, dzięki czemu atakujący będzie mógł łączyć się bezpośrednio przez nie z VPC.

Peering VPC

Utwórz połączenie peeringowe między VPC ofiary a VPC atakującego, dzięki czemu będzie mógł uzyskać dostęp do VPC ofiary.

Dowiedz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Dowiedz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wesprzyj HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud na githubie.

PreviousAWS - DynamoDB Persistence NextAWS - ECR Persistence

Last updated 1 month ago