AWS - EC2 Persistence

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

EC2

Po więcej informacji sprawdź:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

Jeśli obrońca stwierdzi, że EC2 instance was compromised prawdopodobnie spróbuje odizolować sieć maszyny. Może to zrobić za pomocą jawnego Deny NACL (ale NACLs dotyczą całego subnetu), lub zmiany security group uniemożliwiającej jakikolwiek ruch inbound or outbound.

Jeżeli atakujący uzyskał reverse shell originated from the machine, nawet jeśli SG zostanie zmodyfikowany, aby nie pozwalać na inbound lub outbound traffic, połączenie nie zostanie zabite ze względu na Security Group Connection Tracking.

EC2 Lifecycle Manager

Ta usługa pozwala schedule creation of AMIs and snapshots a nawet share them with other accounts.
Atakujący może skonfigurować generation of AMIs or snapshots wszystkich obrazów lub woluminów every week i share them with his account.

Scheduled Instances

Możliwe jest zaplanowanie instances tak, aby uruchamiały się codziennie, co tydzień lub nawet co miesiąc. Atakujący mógłby uruchamiać maszynę z wysokimi uprawnieniami lub interesującym dostępem, do którego mógłby się dostać.

Spot Fleet Request

Spot instances są cheaper niż zwykłe instances. Atakujący mógłby uruchomić small spot fleet request for 5 year (na przykład), z automatic IP assignment i user data, które wysyła do atakującego when the spot instance start informacje o IP address oraz przyznać high privileged IAM role.

Backdoor Instances

Atakujący może uzyskać dostęp do instancji i je backdoorować:

  • Używając na przykład tradycyjnego rootkit
  • Dodając nowy public SSH key (check EC2 privesc options)
  • Backdooring the User Data

Backdoor Launch Configuration

  • Backdoor the used AMI
  • Backdoor the User Data
  • Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Zamień root EBS volume działającej instance na taki zbudowany z atakującego-controlled AMI lub snapshotu używając CreateReplaceRootVolumeTask. Instancja zachowuje swoje ENIs, IPs i role, skutecznie uruchamiając się z złośliwym kodem przy jednoczesnym pozornym braku zmian.

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

Utwórz VPN, aby atakujący mógł łączyć się bezpośrednio do VPC.

VPC Peering

Utwórz peering pomiędzy victim VPC a attacker VPC, aby mógł uzyskać dostęp do victim VPC.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks