Saldırı hakkında daha fazla ayrıntı için https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws adresini kontrol edin!

Bulut ortamında pasif ağ denetimi, ağ trafiğini izlemek için önemli yapılandırma değişikliklerini gerektiren bir zorluk olmuştur. Bununla birlikte, AWS tarafından "VPC Trafik Aynalama" adı verilen yeni bir özellik tanıtılmıştır. VPC Trafik Aynalama ile VPC'ler içindeki ağ trafiği, örnekler üzerine herhangi bir yazılım yüklemeden kopyalanabilir. Bu kopyalanan trafiğin analizi için bir ağ sızma tespit sistemi (IDS) ne gönderilebilir.

VPC trafiğini aynalama ve dışarıya çıkarma için gerekli altyapının otomatik olarak dağıtılması ihtiyacını karşılamak için, "malmirror" adında bir kanıt-of-kavram betiği geliştirdik. Bu betik, hedef VPC'deki desteklenen tüm EC2 örnekleri için aynalama kurulumu yapmak için kompromize edilmiş AWS kimlik bilgileri ile kullanılabilir. VPC Trafik Aynalama'nın yalnızca AWS Nitro sistemi tarafından desteklenen EC2 örnekleri tarafından desteklendiğini ve VPC ayna hedefinin aynalanan ana bilgisayarlarla aynı VPC içinde olması gerektiğini unutmamak önemlidir.

Zararlı VPC trafiği aynalamanın etkisi, VPC'ler içinde iletilen hassas bilgilere erişim sağlayarak önemli olabilir. Zararlı aynalamanın olasılığı, VPC'lerde akışan açık metin trafiğinin varlığı göz önüne alındığında yüksektir. Birçok şirket, performans nedenleriyle iç ağlarında açık metin protokolleri kullanır ve geleneksel man-in-the-middle saldırılarının mümkün olmadığını varsayar.

Daha fazla bilgi ve malmirror betiğine erişim için GitHub deposunda bulunabilir. Bu betik, süreci otomatikleştirir ve basit, hızlı ve tekrarlanabilir hale getirir, saldırgan araştırma amaçları için.