AWS - Miroir VPC Malveillant

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

Vérifiez https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws pour plus de détails sur l’attaque !

L’inspection passive du réseau dans un environnement cloud a été difficile, nécessitant des changements de configuration majeurs pour surveiller le trafic réseau. Cependant, une nouvelle fonctionnalité appelée “Miroir de Trafic VPC” a été introduite par AWS pour simplifier ce processus. Avec le Miroir de Trafic VPC, le trafic réseau au sein des VPC peut être dupliqué sans installer de logiciel sur les instances elles-mêmes. Ce trafic dupliqué peut être envoyé à un système de détection d’intrusion réseau (IDS) pour analyse.

Pour répondre au besoin de déploiement automatisé de l’infrastructure nécessaire pour le mirroring et l’exfiltration du trafic VPC, nous avons développé un script de preuve de concept appelé “malmirror”. Ce script peut être utilisé avec des identifiants AWS compromis pour configurer le mirroring pour toutes les instances EC2 prises en charge dans un VPC cible. Il est important de noter que le Miroir de Trafic VPC n’est pris en charge que par les instances EC2 alimentées par le système AWS Nitro, et la cible du miroir VPC doit être dans le même VPC que les hôtes miroités.

L’impact du mirroring de trafic VPC malveillant peut être significatif, car il permet aux attaquants d’accéder à des informations sensibles transmises au sein des VPC. La probabilité d’un tel mirroring malveillant est élevée, compte tenu de la présence de trafic en clair circulant à travers les VPC. De nombreuses entreprises utilisent des protocoles en clair au sein de leurs réseaux internes pour des raisons de performance, supposant que les attaques traditionnelles de type homme du milieu ne sont pas possibles.

Pour plus d’informations et d’accès au script malmirror, il peut être trouvé dans notre dépôt GitHub. Le script automatise et rationalise le processus, le rendant rapide, simple et répétable à des fins de recherche offensive.

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.