Proverite https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws za dalje detalje napada!

Pasivna mrežna inspekcija u cloud okruženju je bila izazovna, zahtevajući velike konfiguracione promene za praćenje mrežnog saobraćaja. Međutim, nova funkcija nazvana "VPC Traffic Mirroring" je uvedena od strane AWS-a kako bi pojednostavila ovaj proces. Sa VPC Traffic Mirroring-om, mrežni saobraćaj unutar VPC-ova može biti dupliran bez instaliranja bilo kakvog softvera na samim instancama. Ovaj duplirani saobraćaj može biti poslat sistemu za detekciju upada u mrežu (IDS) radi analize.

Da bi se adresirala potreba za automatizovanim implementiranjem neophodne infrastrukture za ogledanje i eksfiltraciju VPC saobraćaja, razvili smo skriptu kao dokaz koncepta nazvanu "malmirror". Ova skripta može biti korišćena sa kompromitovanim AWS kredencijalima kako bi se postavilo ogledanje za sve podržane EC2 instance u ciljnom VPC-u. Važno je napomenuti da je VPC Traffic Mirroring podržan samo za EC2 instance pokretane AWS Nitro sistemom, i da cilj ogledala VPC-a mora biti unutar istog VPC-a kao ogledane instance.

Utjecaj zlonamernog ogledanja VPC saobraćaja može biti značajan, jer omogućava napadačima pristup osetljivim informacijama koje se prenose unutar VPC-ova. Verovatnoća takvog zlonamernog ogledanja je visoka, imajući u vidu prisustvo čistog teksta saobraćaja koji protiče kroz VPC-ove. Mnoge kompanije koriste čiste protokole unutar svojih internih mreža iz razloga performansi, pretpostavljajući da tradicionalni napadi čoveka u sredini nisu mogući.

Za više informacija i pristup malmirror skripti, može se pronaći na našem GitHub repozitorijumu. Skripta automatizuje i pojednostavljuje proces, čineći ga brzim, jednostavnim i ponovljivim u svrhe ofanzivnog istraživanja.