Sprawdź https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws dla dalszych szczegółów ataku!

Pasywna inspekcja sieci w środowisku chmurowym była wyzwaniem, wymagającym znacznych zmian konfiguracyjnych do monitorowania ruchu sieciowego. Jednak nowa funkcja o nazwie „Lustro ruchu w VPC” została wprowadzona przez AWS, aby uprościć ten proces. Dzięki Lustrowaniu ruchu w VPC, ruch sieciowy w ramach VPC może być duplikowany bez konieczności instalowania oprogramowania na samych instancjach. Ten zduplikowany ruch może być przesłany do systemu wykrywania intruzów sieciowych (IDS) w celu analizy.

Aby sprostać potrzebie zautomatyzowanego wdrożenia niezbędnej infrastruktury do lustrzania i eksfiltracji ruchu VPC, opracowaliśmy skrypt koncepcyjny o nazwie „malmirror”. Ten skrypt może być użyty z skompromitowanymi danymi uwierzytelniającymi AWS do skonfigurowania lustrzania dla wszystkich obsługiwanych instancji EC2 w docelowym VPC. Ważne jest zauważenie, że Lustrowanie ruchu w VPC jest obsługiwane tylko przez instancje EC2 zasilane przez system AWS Nitro, a cel lustra VPC musi znajdować się w tym samym VPC co hosty lustrzane.

Skutki złośliwego lusterkowania ruchu VPC mogą być znaczące, ponieważ pozwala to atakującym uzyskać dostęp do wrażliwych informacji przesyłanych w ramach VPC. Prawdopodobieństwo takiego złośliwego lusterkowania jest wysokie, biorąc pod uwagę obecność ruchu w tekście jawnym przepływającego przez VPC. Wiele firm używa protokołów w tekście jawnym w swoich sieciach wewnętrznych ze względów wydajnościowych, zakładając, że tradycyjne ataki typu man-in-the-middle nie są możliwe.

Aby uzyskać więcej informacji i dostęp do skryptu malmirror, można go znaleźć w naszym repozytorium GitHub. Skrypt automatyzuje i usprawnia proces, sprawiając, że jest szybki, prosty i powtarzalny w celach badawczych ofensywnych.