HackTricks CloudAWS - EC2 Persistence
Reading time: 4 minutes
tip
Impara e pratica il hacking AWS:
HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: 
HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: 
HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.
EC2
Per maggiori informazioni consulta:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Security Group Connection Tracking Persistence
Se un difensore scopre che un'EC2 instance è stata compromessa probabilmente cercherà di isolare la rete della macchina. Potrebbe farlo con un esplicito Deny NACL (ma gli NACLs interessano l'intera subnet), o modificando il security group in modo da non permettere alcun traffico in ingresso o in uscita.
Se l'attaccante ha una reverse shell originata dalla macchina, anche se il SG viene modificato per non permettere traffico in ingresso o in uscita, la connessione non verrà terminata a causa di Security Group Connection Tracking.
EC2 Lifecycle Manager
Questo servizio permette di pianificare la creazione di AMIs e snapshots e persino di condividerli con altri account.
Un attaccante potrebbe configurare la generazione di AMIs o snapshots di tutte le immagini o di tutti i volumi ogni settimana e condividerli con il proprio account.
Scheduled Instances
È possibile schedulare le instances per essere eseguite giornalmente, settimanalmente o anche mensilmente. Un attaccante potrebbe eseguire una macchina con privilegi elevati o con accesso interessante a cui potrebbe connettersi.
Spot Fleet Request
Le spot instances sono più economiche delle instances regolari. Un attaccante potrebbe avviare una small spot fleet request per 5 year (ad esempio), con assegnazione di automatic IP e un user data che invii all'attaccante quando la spot instance parte l'indirizzo IP e con un high privileged IAM role.
Backdoor Instances
Un attaccante potrebbe ottenere accesso alle instances e installare una backdoor:
- Usando, per esempio, un rootkit tradizionale
- Aggiungendo una nuova public SSH key (check EC2 privesc options)
- Backdooring il User Data
Backdoor Launch Configuration
- Backdoor the used AMI
- Backdoor the User Data
- Backdoor the Key Pair
EC2 ReplaceRootVolume Task (Stealth Backdoor)
Scambia il root EBS volume di un'istanza in esecuzione con uno costruito da un AMI o snapshot controllato dall'attaccante usando CreateReplaceRootVolumeTask. L'istanza mantiene le sue ENIs, IPs, and role, avviando efficacemente codice malevolo pur apparendo invariata.
AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)
VPN
Creare una VPN in modo che l'attaccante possa connettersi direttamente alla VPC.
VPC Peering
Creare una connessione di peering tra la VPC vittima e la VPC dell'attaccante in modo che questi possa accedere alla VPC vittima.
tip
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)
Supporta HackTricks
- Controlla i piani di abbonamento!
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.