AWS - EC2 Persistence

Reading time: 5 minutes

EC2

詳細については、次を確認してください：

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

セキュリティグループ接続追跡持続性

防御者がEC2インスタンスが侵害されたことを発見した場合、彼はおそらくネットワークを隔離しようとするでしょう。彼は明示的なDeny NACLを使用することができます（ただし、NACLはサブネット全体に影響します）、またはセキュリティグループを変更して、いかなる種類のインバウンドまたはアウトバウンドトラフィックも許可しないようにします。

攻撃者がマシンから発生したリバースシェルを持っていた場合、SGがインバウンドまたはアウトバウンドトラフィックを許可しないように変更されても、接続はセキュリティグループ接続追跡のために切断されません。

EC2ライフサイクルマネージャー

このサービスはAMIとスナップショットの作成をスケジュールし、他のアカウントと共有することを可能にします。
攻撃者はすべてのイメージまたはすべてのボリュームのAMIまたはスナップショットの生成を毎週スケジュールし、自分のアカウントと共有することができます。

スケジュールされたインスタンス

インスタンスを毎日、毎週、または毎月実行するようにスケジュールすることが可能です。攻撃者は高い権限または興味深いアクセスを持つマシンを実行することができます。

スポットフリートリクエスト

スポットインスタンスは通常のインスタンスよりも安価です。攻撃者は5年間の小さなスポットフリートリクエストを起動することができ、自動IP割り当てと、スポットインスタンスが起動したときに攻撃者に送信するユーザーデータを持ち、高権限のIAMロールを持つことができます。

バックドアインスタンス

攻撃者はインスタンスにアクセスし、バックドアを仕掛けることができます：

• 伝統的なルートキットを使用する例
• 新しい公開SSHキーを追加する（EC2特権昇格オプションを確認）
• ユーザーデータにバックドアを仕掛ける

バックドア起動構成

• 使用されるAMIにバックドアを仕掛ける
• ユーザーデータにバックドアを仕掛ける
• キーペアにバックドアを仕掛ける

VPN

攻撃者がVPCに直接接続できるようにVPNを作成します。

VPCピアリング

被害者のVPCと攻撃者のVPCの間にピアリング接続を作成し、攻撃者が被害者のVPCにアクセスできるようにします。