AWS - Malicious VPC Mirror

Перевірте https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws для отримання додаткових деталей про атаку!

Пасивний мережевий огляд у хмарному середовищі був складним, вимагаючи значних змін конфігурації для моніторингу мережевого трафіку. Однак AWS ввів нову функцію під назвою "Дзеркало трафіку VPC", щоб спростити цей процес. За допомогою дзеркала трафіку VPC мережевий трафік у межах VPC може бути дубльований без встановлення будь-якого програмного забезпечення на самі екземпляри. Цей дубльований трафік може бути відправлений до системи виявлення вторгнень (IDS) для аналізу.

Для вирішення потреби у автоматизованому розгортанні необхідної інфраструктури для дзеркалювання та виведення трафіку VPC ми розробили скрипт концепції під назвою "malmirror". Цей скрипт може бути використаний з компрометованими обліковими даними AWS для налаштування дзеркалювання для всіх підтримуваних екземплярів EC2 в цільовому VPC. Важливо зауважити, що дзеркало трафіку VPC підтримується лише екземплярами EC2, які працюють на системі AWS Nitro, і ціль дзеркала VPC повинна бути в межах того ж VPC, що й дзеркальні хости.

Вплив зловмисного дзеркала трафіку VPC може бути значним, оскільки воно дозволяє зловмисникам отримувати доступ до чутливої інформації, яка передається у межах VPC. Ймовірність такого зловмисного дзеркалювання висока, враховуючи наявність трафіку у відкритому тексті, що протікає через VPC. Багато компаній використовують протоколи у відкритому тексті у своїх внутрішніх мережах з метою підвищення продуктивності, припускаючи, що традиційні атаки типу "людина посередині" неможливі.

Для отримання додаткової інформації та доступу до скрипту malmirror, він може бути знайдений у нашому репозиторії GitHub. Скрипт автоматизує та спрощує процес, роблячи його швидким, простим та повторюваним для дослідницьких цілей.