AWS - EC2 Persistence

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks

EC2

Per maggiori informazioni consulta:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

Se un difensore scopre che un’EC2 instance è stata compromessa probabilmente cercherà di isolare la rete della macchina. Potrebbe farlo con un esplicito Deny NACL (ma gli NACLs interessano l’intera subnet), o modificando il security group in modo da non permettere alcun traffico in ingresso o in uscita.

Se l’attaccante ha una reverse shell originata dalla macchina, anche se il SG viene modificato per non permettere traffico in ingresso o in uscita, la connessione non verrà terminata a causa di Security Group Connection Tracking.

EC2 Lifecycle Manager

Questo servizio permette di pianificare la creazione di AMIs e snapshots e persino di condividerli con altri account.
Un attaccante potrebbe configurare la generazione di AMIs o snapshots di tutte le immagini o di tutti i volumi ogni settimana e condividerli con il proprio account.

Scheduled Instances

È possibile schedulare le instances per essere eseguite giornalmente, settimanalmente o anche mensilmente. Un attaccante potrebbe eseguire una macchina con privilegi elevati o con accesso interessante a cui potrebbe connettersi.

Spot Fleet Request

Le spot instances sono più economiche delle instances regolari. Un attaccante potrebbe avviare una small spot fleet request per 5 year (ad esempio), con assegnazione di automatic IP e un user data che invii all’attaccante quando la spot instance parte l’indirizzo IP e con un high privileged IAM role.

Backdoor Instances

Un attaccante potrebbe ottenere accesso alle instances e installare una backdoor:

  • Usando, per esempio, un rootkit tradizionale
  • Aggiungendo una nuova public SSH key (check EC2 privesc options)
  • Backdooring il User Data

Backdoor Launch Configuration

  • Backdoor the used AMI
  • Backdoor the User Data
  • Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Scambia il root EBS volume di un’istanza in esecuzione con uno costruito da un AMI o snapshot controllato dall’attaccante usando CreateReplaceRootVolumeTask. L’istanza mantiene le sue ENIs, IPs, and role, avviando efficacemente codice malevolo pur apparendo invariata.

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

Creare una VPN in modo che l’attaccante possa connettersi direttamente alla VPC.

VPC Peering

Creare una connessione di peering tra la VPC vittima e la VPC dell’attaccante in modo che questi possa accedere alla VPC vittima.

Tip

Impara & pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Impara & pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Impara & pratica Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Sostieni HackTricks