HackTricks CloudAWS - EC2 Persistence
Reading time: 4 minutes
tip
Apprenez et pratiquez le hacking AWS :
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : 
HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : 
HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.
EC2
Pour plus d'informations, voir :
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Security Group Connection Tracking Persistence
Si un défenseur découvre qu'une instance EC2 a été compromise, il essaiera probablement d'isoler le réseau de la machine. Il pourrait le faire avec un Deny NACL explicite (mais les NACLs affectent l'ensemble du subnet), ou en modifiant le security group pour n'autoriser aucun trafic entrant ou sortant.
Si l'attaquant disposait d'un reverse shell initié depuis la machine, même si le SG est modifié pour ne pas permettre de trafic entrant ou sortant, la connexion ne sera pas terminée en raison de Security Group Connection Tracking.
EC2 Lifecycle Manager
Ce service permet de planifier la création d'AMIs et de snapshots et même de les partager avec d'autres comptes.
Un attaquant pourrait configurer la génération d'AMIs ou de snapshots de toutes les images ou de tous les volumes chaque semaine et les partager avec son compte.
Scheduled Instances
Il est possible de planifier l'exécution d'instances quotidiennement, hebdomadairement ou même mensuellement. Un attaquant pourrait faire tourner une machine disposant de privilèges élevés ou d'un accès intéressant auquel il pourrait accéder.
Spot Fleet Request
Les Spot instances sont moins chères que les instances régulières. Un attaquant pourrait lancer une petite spot fleet request pour 5 year (par exemple), avec une attribution automatique d'IP et un user data qui envoie à l'attaquant lorsque la spot instance démarre l'adresse IP, et avec un IAM role hautement privilégié.
Backdoor Instances
Un attaquant pourrait obtenir l'accès aux instances et les backdoorer :
- En utilisant un rootkit traditionnel par exemple
- En ajoutant une nouvelle public SSH key (check EC2 privesc options)
- Installer une backdoor dans le User Data
Backdoor Launch Configuration
- Installer une backdoor dans l'AMI utilisée
- Installer une backdoor dans le User Data
- Installer une backdoor dans le Key Pair
EC2 ReplaceRootVolume Task (Stealth Backdoor)
Échanger le volume EBS racine d'une instance en cours d'exécution contre un volume construit à partir d'une AMI ou d'un snapshot contrôlé par l'attaquant en utilisant CreateReplaceRootVolumeTask. L'instance conserve ses ENIs, IPs, et role, démarrant ainsi dans du code malveillant tout en semblant inchangée.
AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)
VPN
Créer un VPN pour que l'attaquant puisse se connecter directement au VPC.
VPC Peering
Créer une connexion de peering entre le VPC victime et le VPC de l'attaquant afin qu'il puisse accéder au VPC victime.
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)
Soutenir HackTricks
- Vérifiez les plans d'abonnement !
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts github.