AWS - 悪意のある VPC ミラー

Reading time: 5 minutes

詳細については https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws を確認してください！

クラウド環境における受動的ネットワーク検査は困難であり、ネットワークトラフィックを監視するために大規模な構成変更が必要でした。しかし、AWSによって「VPCトラフィックミラーリング」という新機能が導入され、このプロセスが簡素化されました。VPCトラフィックミラーリングを使用すると、VPC内のネットワークトラフィックを複製でき、インスタンス自体にソフトウェアをインストールする必要がありません。この複製されたトラフィックは、ネットワーク侵入検知システム（IDS）に送信されて分析されることができます。

VPCトラフィックをミラーリングおよび抽出するために必要なインフラの自動デプロイメントのニーズに対応するために、「malmirror」という概念実証スクリプトを開発しました。このスクリプトは、侵害されたAWS資格情報を使用して、ターゲットVPC内のすべてのサポートされているEC2インスタンスのミラーリングを設定するために使用できます。VPCトラフィックミラーリングは、AWS Nitroシステムによって動作するEC2インスタンスのみがサポートされており、VPCミラーターゲットはミラーリングされたホストと同じVPC内でなければならないことに注意が必要です。

悪意のあるVPCトラフィックミラーリングの影響は重大であり、攻撃者がVPC内で送信される機密情報にアクセスできるようになります。このような悪意のあるミラーリングの可能性は高く、VPC内を流れる平文トラフィックの存在を考慮すると、特にそうです。多くの企業は、パフォーマンスの理由から内部ネットワーク内で平文プロトコルを使用しており、従来の中間者攻撃が不可能であると仮定しています。

詳細情報およびmalmirrorスクリプトへのアクセスは、私たちのGitHubリポジトリで見つけることができます。このスクリプトはプロセスを自動化し、簡素化し、攻撃的研究目的のために迅速、簡単、かつ繰り返し可能にします。