HackTricks CloudAWS - EC2 Persistenz
Reading time: 3 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
EC2
Für weitere Informationen siehe:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Persistenz durch Verbindungsverfolgung der Sicherheitsgruppe
Wenn ein Verteidiger feststellt, dass eine EC2-Instanz kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Er könnte dies mit einem expliziten Deny NACL tun (aber NACLs betreffen das gesamte Subnetz) oder die Sicherheitsgruppe ändern, um jeglichen eingehenden oder ausgehenden Verkehr zu verhindern.
Wenn der Angreifer eine Reverse Shell von der Maschine hatte, wird die Verbindung nicht beendet, selbst wenn die SG geändert wird, um keinen eingehenden oder ausgehenden Verkehr zuzulassen, aufgrund von Security Group Connection Tracking.
EC2 Lifecycle Manager
Dieser Dienst ermöglicht es, die Erstellung von AMIs und Snapshots zu planen und sogar sie mit anderen Konten zu teilen.
Ein Angreifer könnte die Generierung von AMIs oder Snapshots aller Images oder aller Volumes jede Woche konfigurieren und sie mit seinem Konto teilen.
Geplante Instanzen
Es ist möglich, Instanzen täglich, wöchentlich oder sogar monatlich zu planen. Ein Angreifer könnte eine Maschine mit hohen Berechtigungen oder interessantem Zugriff betreiben, auf die er zugreifen könnte.
Spot Fleet Anfrage
Spot-Instanzen sind günstiger als reguläre Instanzen. Ein Angreifer könnte eine kleine Spot Fleet Anfrage für 5 Jahre (zum Beispiel) starten, mit automatischer IP-Zuweisung und Benutzerdaten, die an den Angreifer sendet, wenn die Spot-Instanz startet und die IP-Adresse sowie mit einer hochprivilegierten IAM-Rolle.
Backdoor-Instanzen
Ein Angreifer könnte Zugriff auf die Instanzen erhalten und sie mit einer Hintertür versehen:
- Verwendung eines traditionellen Rootkits zum Beispiel
- Hinzufügen eines neuen öffentlichen SSH-Schlüssels (siehe EC2 privesc Optionen)
- Hintertür in den Benutzerdaten
Hintertür-Startkonfiguration
- Hintertür in das verwendete AMI
- Hintertür in die Benutzerdaten
- Hintertür im Schlüsselpaar
VPN
Erstellen Sie ein VPN, damit der Angreifer direkt über dieses in die VPC verbinden kann.
VPC Peering
Erstellen Sie eine Peering-Verbindung zwischen der Opfer-VPC und der Angreifer-VPC, damit er auf die Opfer-VPC zugreifen kann.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.