AWS - EC2 Persistence

Reading time: 4 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

EC2

For more information check:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

यदि किसी defender को पता चले कि एक EC2 instance compromised था, तो वह संभवतः उस मशीन के नेटवर्क को अलग करने की कोशिश करेगा। वह यह एक स्पष्ट Deny NACL के साथ कर सकता है (लेकिन NACLs पूरे subnet को प्रभावित करते हैं), या security group बदलकर किसी भी तरह के इनबाउंड या आउटबाउंड ट्रैफिक की अनुमति न देने जैसा कर सकता है।

यदि attacker के पास मशीन से उत्पन्न एक reverse shell originated from the machine था, तो भले ही SG को इस तरह से संशोधित किया जाए कि inbound या outbound ट्रैफिक की अनुमति न हो, कनेक्शन Security Group Connection Tracking के कारण खत्म नहीं होगा।**

EC2 Lifecycle Manager

यह service AMIs और snapshots के निर्माण को schedule करने और यहां तक कि उन्हें other accounts के साथ share करने की अनुमति देती है।
एक हमलावर सभी images या सभी volumes के AMIs या snapshots का निर्माण हर week करने के लिए configure कर सकता है और उन्हें अपने खाते के साथ share कर सकता है।

Scheduled Instances

Instances को daily, weekly या monthly चलाने के लिए schedule किया जा सकता है। एक हमलावर ऐसी मशीन चला सकता है जिसमें उसे high privileges या रुचिकर access मिलता हो, जिसे वह बाद में उपयोग कर सके।

Spot Fleet Request

Spot instances सामान्य instances की तुलना में cheaper होते हैं। एक हमलावर उदाहरण के लिए 5 year के लिए एक छोटा spot fleet request लॉन्च कर सकता है, जिसमें automatic IP असाइनमेंट और ऐसा user data होगा जो attacker को जब spot instance start हो तो IP address भेज दे और जिसमें एक high privileged IAM role जुड़ा हो।

Backdoor Instances

एक हमलावर instances तक पहुंच हासिल कर उन्हें backdoor कर सकता है:

  • उदाहरण के लिए परंपरागत rootkit का उपयोग करके
  • एक नया public SSH key जोड़कर (देखें EC2 privesc options)
  • User Data को backdoor करके

Backdoor Launch Configuration

  • Backdoor करें उपयोग की गई AMI में
  • Backdoor करें User Data में
  • Backdoor करें Key Pair में

EC2 ReplaceRootVolume Task (Stealth Backdoor)

चल रही instance के root EBS volume को attacker-नियंत्रित AMI या snapshot से बने एक volume के साथ CreateReplaceRootVolumeTask का उपयोग करके बदल दें। instance अपने ENIs, IPs, और role को बनाए रखता है, और प्रभावी रूप से malicious code में boot कर जाता है जबकि दिखने में अपरिवर्तित रहता है।

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

एक VPN बनाएं ताकि attacker सीधे VPC से कनेक्ट कर सके।

VPC Peering

victim VPC और attacker VPC के बीच peering connection बनाएं ताकि वह victim VPC तक पहुँच सके।

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें