HackTricks CloudAWS - EC2 Persistenz
Reading time: 4 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
EC2
Für weitere Informationen siehe:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Security Group Connection Tracking Persistenz
Wenn ein Verteidiger feststellt, dass eine EC2 instance kompromittiert wurde, wird er wahrscheinlich versuchen, das Netzwerk der Maschine zu isolieren. Er könnte dies mit einem expliziten Deny NACL tun (aber NACLs betreffen das gesamte Subnetz), oder indem er die security group ändert, sodass kein eingehender oder ausgehender Traffic erlaubt ist.
Wenn der Angreifer eine reverse shell von der Maschine aus gestartet hat, wird die Verbindung nicht beendet sein, selbst wenn die SG so geändert wurde, dass kein eingehender oder ausgehender Traffic erlaubt ist, aufgrund von Security Group Connection Tracking.
EC2 Lifecycle Manager
Dieser Service ermöglicht es, die Erstellung von AMIs und snapshots zu planen und sie sogar mit anderen Accounts zu teilen.
Ein Angreifer könnte die Erzeugung von AMIs oder snapshots aller Images oder aller Volumes wöchentlich konfigurieren und diese mit seinem Account teilen.
Scheduled Instances
Es ist möglich, Instances so zu planen, dass sie täglich, wöchentlich oder sogar monatlich laufen. Ein Angreifer könnte eine Maschine mit hohen Privilegien oder interessantem Zugriff betreiben, auf die er zugreifen kann.
Spot Fleet Request
Spot instances sind günstiger als reguläre Instances. Ein Angreifer könnte eine kleine Spot Fleet Request für 5 Jahre (zum Beispiel) starten, mit automatischer IP-Zuweisung und einem user data, das dem Angreifer beim Start der Spot Instance die IP-Adresse sendet, und mit einer hochprivilegierten IAM role.
Backdoor Instances
Ein Angreifer könnte Zugriff auf Instances erlangen und diese backdooren:
- Zum Beispiel durch Verwendung eines traditionellen rootkit
- Hinzufügen eines neuen public SSH key (siehe EC2 privesc options)
- Backdooring des User Data
Backdoor Launch Configuration
- Backdoor das verwendete AMI
- Backdoor das User Data
- Backdoor das Key Pair
EC2 ReplaceRootVolume Task (Stealth Backdoor)
Ersetze das root EBS volume einer laufenden instance durch eines, das aus einem vom Angreifer kontrollierten AMI oder snapshot erstellt wurde, mittels CreateReplaceRootVolumeTask. Die instance behält ihre ENIs, IPs und Rolle bei und bootet effektiv in bösartigen Code, während sie unverändert erscheint.
AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)
VPN
Erstelle ein VPN, damit der Angreifer sich direkt mit der VPC verbinden kann.
VPC Peering
Erstelle eine Peering-Verbindung zwischen der Opfer-VPC und der Angreifer-VPC, sodass er auf die Opfer-VPC zugreifen kann.
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.