AWS - EC2 Persistence
EC2
For more information check:
AWS - EC2, EBS, ELB, SSM, VPC & VPN EnumSecurity Group Connection Tracking Persistence
Якщо захисник виявить, що EC2 екземпляр був скомпрометований, він, ймовірно, спробує ізолювати мережу машини. Він може зробити це за допомогою явного Deny NACL (але NACL впливають на всю підмережу) або змінивши групу безпеки, не дозволяючи жодного виду вхідного або вихідного трафіку.
Якщо зловмисник мав реверсну оболонку, що походить з машини, навіть якщо SG змінено, щоб не дозволяти вхідний або вихідний трафік, з'єднання не буде розірвано через Security Group Connection Tracking.
EC2 Lifecycle Manager
Ця служба дозволяє планувати створення AMI та знімків і навіть ділитися ними з іншими обліковими записами. Зловмисник може налаштувати генерацію AMI або знімків всіх зображень або всіх томів кожного тижня і ділитися ними зі своїм обліковим записом.
Scheduled Instances
Можна запланувати екземпляри для запуску щодня, щотижня або навіть щомісяця. Зловмисник може запустити машину з високими привілеями або цікавим доступом, де він міг би отримати доступ.
Spot Fleet Request
Spot екземпляри є дешевшими ніж звичайні екземпляри. Зловмисник може запустити маленький запит на флот спотів на 5 років (наприклад), з автоматичним призначенням IP і даними користувача, які надсилають зловмиснику коли спот екземпляр запускається і IP-адресу з високопривілейованою IAM роллю.
Backdoor Instances
Зловмисник може отримати доступ до екземплярів і встановити на них бекдор:
Використовуючи традиційний rootkit, наприклад
Додаючи новий публічний SSH ключ (перевірте EC2 privesc options)
Встановлюючи бекдор у дані користувача
Backdoor Launch Configuration
Встановити бекдор на використану AMI
Встановити бекдор у дані користувача
Встановити бекдор на ключову пару
VPN
Створити VPN, щоб зловмисник міг підключитися безпосередньо через нього до VPC.
VPC Peering
Створити з'єднання пірінгу між VPC жертви та VPC зловмисника, щоб він міг отримати доступ до VPC жертви.
Last updated