Перевірте https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws для отримання додаткових деталей про атаку!

Пасивний мережевий огляд у хмарному середовищі був складним, вимагаючи значних змін конфігурації для моніторингу мережевого трафіку. Однак AWS ввів нову функцію під назвою "Дзеркало трафіку VPC", щоб спростити цей процес. За допомогою дзеркала трафіку VPC можна дублювати мережевий трафік у межах VPC без встановлення будь-якого програмного забезпечення на самі екземпляри. Цей дубльований трафік може бути відправлений до системи виявлення вторгнень (IDS) для аналізу.

Для вирішення потреби у автоматизованому розгортанні необхідної інфраструктури для дзеркалювання та ексфільтрації трафіку VPC ми розробили скрипт концепції під назвою "malmirror". Цей скрипт може бути використаний з компрометованими обліковими даними AWS для налаштування дзеркалювання для всіх підтримуваних екземплярів EC2 в цільовому VPC. Важливо зауважити, що дзеркало трафіку VPC підтримується лише екземплярами EC2, які працюють на системі AWS Nitro, і ціль дзеркала VPC повинна бути в межах того ж VPC, що й дзеркальні хости.

Вплив зловмисного дзеркала трафіку VPC може бути значним, оскільки воно дозволяє зловмисникам отримувати доступ до чутливої інформації, яка передається у межах VPC. Ймовірність такого зловмисного дзеркала висока, враховуючи наявність текстового трафіку у межах VPC. Багато компаній використовують протоколи з текстовими даними у своїх внутрішніх мережах з метою підвищення продуктивності, припускаючи, що традиційні атаки типу "людина посередині" неможливі.

Для отримання додаткової інформації та доступу до скрипту malmirror, його можна знайти у нашому репозиторії GitHub. Скрипт автоматизує та спрощує процес, роблячи його швидким, простим та повторюваним для досліджень у сфері кібербезпеки.