AWS - Malicious VPC Mirror
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
查看 https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws 以获取攻击的更多细节!
在云环境中进行被动网络检查一直是具有挑战性的,需要进行重大配置更改以监控网络流量。然而,AWS 引入了一项名为“VPC 流量镜像”的新功能,以简化此过程。通过 VPC 流量镜像,可以在不在实例上安装任何软件的情况下复制 VPC 内的网络流量。此复制的流量可以发送到网络入侵检测系统 (IDS) 进行分析。
为了满足自动部署镜像和提取 VPC 流量所需基础设施的需求,我们开发了一个名为“malmirror”的概念验证脚本。该脚本可以与被攻陷的 AWS 凭证一起使用,以在目标 VPC 中为所有支持的 EC2 实例设置镜像。需要注意的是,VPC 流量镜像仅支持由 AWS Nitro 系统提供支持的 EC2 实例,并且 VPC 镜像目标必须与被镜像主机位于同一 VPC 中。
恶意 VPC 流量镜像的影响可能是显著的,因为它允许攻击者访问在 VPC 内传输的敏感信息。考虑到 VPC 中存在明文流量,这种恶意镜像的可能性很高。许多公司在其内部网络中使用明文协议出于性能原因,假设传统的中间人攻击是不可能的。
有关更多信息和访问 malmirror 脚本,可以在我们的GitHub 仓库中找到。该脚本自动化并简化了该过程,使其对攻击性研究目的快速、简单且可重复。
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)