AWS - EC2 Persistence

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

EC2

Vir meer inligting, kyk:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

As a defender ontdek dat ’n EC2 instance was compromised, sal hy waarskynlik probeer om die network van die masjien te isolate. Hy kan dit doen met ’n eksplisiete Deny NACL (maar NACLs beïnvloed die hele subnet), of deur changing the security group sodat dit any kind of inbound or outbound verkeer nie toelaat nie.

As an attacker ’n reverse shell originated from the machine gehad het, selfs al is die SG gewysig om inboud of outbound verkeer nie toe te laat nie, sal die connection won’t be killed due to Security Group Connection Tracking.

EC2 Lifecycle Manager

Hierdie diens laat toe om die schedule van die creation of AMIs and snapshots, en selfs om dit te share them with other accounts. An attacker kan die generation of AMIs or snapshots van alle images of volumes op every week skeduleer en dit share them with his account.

Scheduled Instances

Dit is moontlik om instances te schedule om daagliks, weekliks of selfs maandeliks te hardloop. An attacker kan ’n masjien met high privileges of interessante toegang draai wat hy kan benut.

Spot Fleet Request

Spot instances is cheaper as gewone instances. An attacker kan ’n small spot fleet request for 5 year (byvoorbeeld) loods, met automatic IP toekenning en ’n user data wat aan die attacker stuur when the spot instance start en die IP address, en met ’n high privileged IAM role.

Backdoor Instances

An attacker kan toegang tot die instances kry en hulle backdoor:

  • Deur byvoorbeeld ’n tradisionele rootkit te gebruik
  • Voeg ’n nuwe public SSH key by (check EC2 privesc options)
  • Backdooring the User Data

Backdoor Launch Configuration

  • Backdoor the used AMI
  • Backdoor the User Data
  • Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Ruil die root EBS volume van ’n running instance uit vir een gebou vanaf ’n attacker-controlled AMI of snapshot met behulp van CreateReplaceRootVolumeTask. Die instance behou sy ENIs, IPs, en role, en boot effektief in kwaadwillige kode terwyl dit onveranderd voorkom.

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

Skep ’n VPN sodat die attacker direk na die VPC kan verbind.

VPC Peering

Skep ’n peering connection tussen die victim VPC en die attacker VPC sodat hy toegang tot die victim VPC kan kry.

Tip

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks