AWS - EC2 영속성

Reading time: 3 minutes

EC2

자세한 정보는 다음을 확인하세요:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

방어자가 EC2 instance was compromised를 발견하면 그는 아마도 해당 머신의 네트워크를 격리하려고 할 것입니다. 이것은 명시적인 Deny NACL(단, NACLs는 전체 서브넷에 영향을 줌)이나 security group을 변경해 어떤 종류의 inbound 또는 outbound 트래픽도 허용하지 않도록 설정하는 방식으로 할 수 있습니다.

만약 공격자가 머신에서 시작된 reverse shell originated from the machine을 보유하고 있다면, SG가 inbound 또는 outbound 트래픽을 허용하지 않도록 수정되더라도 Security Group Connection Tracking에 의해 연결은 종료되지 않습니다.

EC2 Lifecycle Manager

이 서비스는 AMIs and snapshots의 생성을 스케줄하고 심지어 다른 계정과 공유할 수 있게 해줍니다.
공격자는 모든 이미지나 모든 볼륨의 AMIs 또는 snapshots 생성을 매주로 예약하고 이를 자신의 계정과 공유하도록 구성할 수 있습니다.

Scheduled Instances

인스턴스를 일별, 주별 또는 월별로 실행되도록 예약할 수 있습니다. 공격자는 높은 권한이나 흥미로운 접근 권한이 있는 머신을 예약 실행해 접근할 수 있습니다.

Spot Fleet Request

Spot instances는 일반 인스턴스보다 저렴합니다. 공격자는 예를 들어 5 year 동안의 작은 spot fleet request를 시작하고, 자동 IP 할당과 함께 user data에 스팟 인스턴스가 시작될 때 공격자에게 IP address를 전송하도록 설정하고, high privileged IAM role을 부여할 수 있습니다.

Backdoor Instances

공격자는 인스턴스에 접근한 뒤 backdoor를 심을 수 있습니다:

• Using a traditional rootkit for example
• Adding a new public SSH key (check EC2 privesc options)
• Backdooring the User Data

Backdoor Launch Configuration

• Backdoor the used AMI
• Backdoor the User Data
• Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

실행 중인 인스턴스의 루트 EBS 볼륨을 공격자가 제어하는 AMI 또는 snapshot에서 생성된 것으로 교체하는 작업을 CreateReplaceRootVolumeTask를 사용해 수행할 수 있습니다. 인스턴스는 ENIs, IPs, 및 역할을 유지하므로 외형상 변경이 없어 보이면서 악성 코드로 부팅됩니다.

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

공격자가 VPC에 직접 연결할 수 있도록 VPN을 생성합니다.

VPC Peering

피해자 VPC와 공격자 VPC 사이에 peering connection을 생성해 공격자가 피해자 VPC에 접근할 수 있게 합니다.