AWS - Malicious VPC Mirror

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Δείτε https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws για περισσότερες λεπτομέρειες σχετικά με την επίθεση!

Η παθητική επιθεώρηση δικτύου σε ένα περιβάλλον cloud έχει αποδειχθεί δύσκολη, απαιτώντας σημαντικές αλλαγές στη διαμόρφωση για την παρακολούθηση της δικτυακής κίνησης. Ωστόσο, μια νέα δυνατότητα που ονομάζεται “VPC Traffic Mirroring” έχει εισαχθεί από την AWS για να απλοποιήσει αυτή τη διαδικασία. Με το VPC Traffic Mirroring, η δικτυακή κίνηση εντός των VPC μπορεί να αντιγραφεί χωρίς να εγκατασταθεί κανένα λογισμικό στις ίδιες τις περιπτώσεις. Αυτή η αντιγραμμένη κίνηση μπορεί να σταλεί σε ένα σύστημα ανίχνευσης δικτυακής εισβολής (IDS) για ανάλυση.

Για να καλύψουμε την ανάγκη για αυτοματοποιημένη ανάπτυξη της απαραίτητης υποδομής για την αντιγραφή και εξαγωγή της κίνησης VPC, έχουμε αναπτύξει ένα σενάριο απόδειξης της έννοιας που ονομάζεται “malmirror”. Αυτό το σενάριο μπορεί να χρησιμοποιηθεί με συμβιβασμένα AWS credentials για να ρυθμίσει την αντιγραφή για όλες τις υποστηριζόμενες περιπτώσεις EC2 σε μια στοχευμένη VPC. Είναι σημαντικό να σημειωθεί ότι το VPC Traffic Mirroring υποστηρίζεται μόνο από τις περιπτώσεις EC2 που τροφοδοτούνται από το σύστημα AWS Nitro, και ο στόχος του VPC mirror πρέπει να βρίσκεται εντός της ίδιας VPC με τους αντεστραμμένους κόμβους.

Η επίδραση της κακόβουλης αντιγραφής κίνησης VPC μπορεί να είναι σημαντική, καθώς επιτρέπει στους επιτιθέμενους να έχουν πρόσβαση σε ευαίσθητες πληροφορίες που μεταδίδονται εντός των VPC. Η πιθανότητα μιας τέτοιας κακόβουλης αντιγραφής είναι υψηλή, δεδομένης της παρουσίας καθαρής κίνησης που ρέει μέσω των VPC. Πολλές εταιρείες χρησιμοποιούν καθαρά πρωτόκολλα εντός των εσωτερικών τους δικτύων για λόγους απόδοσης, υποθέτοντας ότι οι παραδοσιακές επιθέσεις man-in-the-middle δεν είναι δυνατές.

Για περισσότερες πληροφορίες και πρόσβαση στο malmirror script, μπορείτε να το βρείτε στο GitHub repository μας. Το σενάριο αυτοματοποιεί και απλοποιεί τη διαδικασία, καθιστώντας την γρήγορη, απλή και επαναλαμβανόμενη για σκοπούς επιθετικής έρευνας.

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Δείτε τα subscription plans!
• Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.