HackTricks CloudAWS - EC2 Persistence
Reading time: 3 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
EC2
Pour plus d'informations, consultez :
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Persistence de suivi de connexion du groupe de sécurité
Si un défenseur découvre qu'une instance EC2 a été compromise, il essaiera probablement d'isoler le réseau de la machine. Il pourrait le faire avec un Deny NACL explicite (mais les NACL affectent tout le sous-réseau), ou en modifiant le groupe de sécurité pour ne pas permettre aucun type de trafic entrant ou sortant.
Si l'attaquant avait un reverse shell provenant de la machine, même si le SG est modifié pour ne pas permettre de trafic entrant ou sortant, la connexion ne sera pas interrompue en raison de Security Group Connection Tracking.
Gestionnaire de cycle de vie EC2
Ce service permet de programmer la création d'AMIs et de snapshots et même de les partager avec d'autres comptes.
Un attaquant pourrait configurer la génération d'AMIs ou de snapshots de toutes les images ou de tous les volumes toutes les semaines et les partager avec son compte.
Instances programmées
Il est possible de programmer des instances pour s'exécuter quotidiennement, hebdomadairement ou même mensuellement. Un attaquant pourrait exécuter une machine avec des privilèges élevés ou un accès intéressant où il pourrait accéder.
Demande de flotte Spot
Les instances Spot sont moins chères que les instances régulières. Un attaquant pourrait lancer une petite demande de flotte Spot pour 5 ans (par exemple), avec une attribution automatique d'IP et des données utilisateur qui envoient à l'attaquant quand l'instance Spot démarre et l'adresse IP et avec un rôle IAM à privilèges élevés.
Instances de porte dérobée
Un attaquant pourrait accéder aux instances et les compromettre :
- En utilisant un rootkit traditionnel par exemple
- En ajoutant une nouvelle clé SSH publique (voir options de privesc EC2)
- En compromettant les données utilisateur
Configuration de lancement de porte dérobée
- Compromettre l'AMI utilisée
- Compromettre les données utilisateur
- Compromettre la paire de clés
VPN
Créer un VPN afin que l'attaquant puisse se connecter directement à travers celui-ci au VPC.
Peering VPC
Créer une connexion de peering entre le VPC de la victime et le VPC de l'attaquant afin qu'il puisse accéder au VPC de la victime.
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.