AWS - Malicious VPC Mirror

Reading time: 3 minutes

Check https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws for further details of the attack!

क्लाउड वातावरण में पैसिव नेटवर्क निरीक्षण चुनौतीपूर्ण रहा है, जिसके लिए नेटवर्क ट्रैफ़िक की निगरानी के लिए प्रमुख कॉन्फ़िगरेशन परिवर्तनों की आवश्यकता होती है। हालाँकि, AWS द्वारा “VPC ट्रैफ़िक मिररिंग” नामक एक नई सुविधा पेश की गई है जिससे इस प्रक्रिया को सरल बनाया जा सके। VPC ट्रैफ़िक मिररिंग के साथ, VPCs के भीतर नेटवर्क ट्रैफ़िक को बिना किसी सॉफ़्टवेयर को इंस्टेंस पर स्थापित किए डुप्लिकेट किया जा सकता है। यह डुप्लिकेट किया गया ट्रैफ़िक नेटवर्क इंट्रूज़न डिटेक्शन सिस्टम (IDS) के लिए विश्लेषण के लिए भेजा जा सकता है।

VPC ट्रैफ़िक को मिररिंग और एक्सफिल्ट्रेट करने के लिए आवश्यक बुनियादी ढांचे की स्वचालित तैनाती की आवश्यकता को संबोधित करने के लिए, हमने “malmirror” नामक एक प्रूफ-ऑफ-कॉन्सेप्ट स्क्रिप्ट विकसित की है। इस स्क्रिप्ट का उपयोग समझौता किए गए AWS क्रेडेंशियल्स के साथ लक्षित VPC में सभी समर्थित EC2 इंस्टेंस के लिए मिररिंग सेट करने के लिए किया जा सकता है। यह ध्यान रखना महत्वपूर्ण है कि VPC ट्रैफ़िक मिररिंग केवल AWS नाइट्रो सिस्टम द्वारा संचालित EC2 इंस्टेंस द्वारा समर्थित है, और VPC मिरर लक्ष्य को मिरर किए गए होस्ट के समान VPC के भीतर होना चाहिए।

दुष्ट VPC ट्रैफ़िक मिररिंग का प्रभाव महत्वपूर्ण हो सकता है, क्योंकि यह हमलावरों को VPCs के भीतर प्रसारित संवेदनशील जानकारी तक पहुँचने की अनुमति देता है। ऐसे दुष्ट मिररिंग की संभावना उच्च है, यह देखते हुए कि VPCs के माध्यम से स्पष्ट पाठ ट्रैफ़िक बह रहा है। कई कंपनियाँ प्रदर्शन कारणों के लिए अपने आंतरिक नेटवर्क में स्पष्ट पाठ प्रोटोकॉल का उपयोग करती हैं, यह मानते हुए कि पारंपरिक मैन-इन-द-मिडल हमले संभव नहीं हैं।

अधिक जानकारी और malmirror स्क्रिप्ट तक पहुँच के लिए, इसे हमारे GitHub रिपॉजिटरी पर पाया जा सकता है। यह स्क्रिप्ट प्रक्रिया को स्वचालित और सरल बनाती है, जिससे यह तेज़, सरल, और दोहराने योग्य हो जाता है आक्रामक अनुसंधान उद्देश्यों के लिए।