AWS - Malicious VPC Mirror

Sprawdź https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws dla dalszych szczegółów ataku!

Pasywna inspekcja sieci w środowisku chmurowym była wyzwaniem, wymagającym znacznych zmian konfiguracyjnych w celu monitorowania ruchu sieciowego. Jednak nowa funkcja o nazwie "Odbicie ruchu VPC" została wprowadzona przez AWS w celu uproszczenia tego procesu. Dzięki odbiciu ruchu VPC, ruch sieciowy w ramach VPC może być duplikowany bez konieczności instalowania oprogramowania na samych instancjach. Ten zduplikowany ruch może być przesłany do systemu wykrywania intruzów sieciowych (IDS) w celu analizy.

Aby sprostać potrzebie zautomatyzowanego wdrożenia niezbędnej infrastruktury do odbijania i eksfiltracji ruchu VPC, opracowaliśmy skrypt koncepcyjny o nazwie "malmirror". Ten skrypt może być użyty z skompromitowanymi danymi uwierzytelniającymi AWS do skonfigurowania odbijania dla wszystkich obsługiwanych instancji EC2 w docelowej VPC. Ważne jest zauważenie, że odbicie ruchu VPC jest obsługiwane tylko przez instancje EC2 zasilane przez system AWS Nitro, a cel lustra VPC musi znajdować się w tej samej VPC co hosty odbijane.

Skutki złośliwego odbijania ruchu VPC mogą być znaczące, ponieważ pozwala to atakującym uzyskać dostęp do wrażliwych informacji przesyłanych w ramach VPC. Prawdopodobieństwo takiego złośliwego odbijania jest wysokie, biorąc pod uwagę obecność ruchu w tekście jawnym przepływającego przez VPC. Wiele firm używa protokołów w tekście jawnym w swoich sieciach wewnętrznych ze względów wydajnościowych, zakładając, że tradycyjne ataki typu man-in-the-middle nie są możliwe.

Aby uzyskać więcej informacji i dostęp do skryptu malmirror, można go znaleźć w naszym repozytorium GitHub. Skrypt automatyzuje i usprawnia proces, sprawiając, że jest szybki, prosty i powtarzalny w celach badawczych ofensywnych.