AWS - Złośliwe Lustro VPC

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

Sprawdź https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws po więcej szczegółów dotyczących ataku!

Pasywna inspekcja sieci w środowisku chmurowym była wyzwaniem, wymagającym dużych zmian konfiguracyjnych w celu monitorowania ruchu sieciowego. Jednak nowa funkcja zwana “VPC Traffic Mirroring” została wprowadzona przez AWS, aby uprościć ten proces. Dzięki VPC Traffic Mirroring ruch sieciowy w VPC może być duplikowany bez instalowania jakiegokolwiek oprogramowania na samych instancjach. Ten zduplikowany ruch może być wysyłany do systemu wykrywania intruzów w sieci (IDS) w celu analizy.

Aby zaspokoić potrzebę automatyzacji wdrożenia niezbędnej infrastruktury do mirroringu i eksfiltracji ruchu VPC, opracowaliśmy skrypt proof-of-concept o nazwie “malmirror”. Skrypt ten może być używany z skompromentowanymi poświadczeniami AWS do skonfigurowania mirroringu dla wszystkich obsługiwanych instancji EC2 w docelowym VPC. Ważne jest, aby zauważyć, że VPC Traffic Mirroring jest obsługiwany tylko przez instancje EC2 zasilane systemem AWS Nitro, a cel lustra VPC musi znajdować się w tym samym VPC co lustrowane hosty.

Wpływ złośliwego mirroringu ruchu VPC może być znaczący, ponieważ pozwala atakującym na dostęp do wrażliwych informacji przesyłanych w VPC. Prawdopodobieństwo takiego złośliwego mirroringu jest wysokie, biorąc pod uwagę obecność ruchu w postaci czystego tekstu przepływającego przez VPC. Wiele firm używa protokołów w postaci czystego tekstu w swoich sieciach wewnętrznych z powodów wydajnościowych, zakładając, że tradycyjne ataki typu man-in-the-middle nie są możliwe.

Aby uzyskać więcej informacji i dostęp do skryptu malmirror, można go znaleźć w naszym repozytorium GitHub. Skrypt automatyzuje i upraszcza proces, czyniąc go szybkim, prostym i powtarzalnym w celach badawczych ofensywnych.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

• Sprawdź subscription plans!
• Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.
• Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.