AWS - EC2 Persistence

Reading time: 3 minutes

EC2

Za više informacija proverite:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Praćenje veze sigurnosne grupe

Ako odbrambeni sistem otkrije da je EC2 instanca kompromitovana, verovatno će pokušati da izoluje mrežu mašine. To može učiniti sa eksplicitnim Deny NACL (ali NACL-ovi utiču na celu podmrežu), ili promenom sigurnosne grupe koja ne dozvoljava nikakav ulazni ili izlazni saobraćaj.

Ako je napadač imao obrnuti shell koji potiče sa mašine, čak i ako je SG izmenjen da ne dozvoljava ulazni ili izlazni saobraćaj, veza neće biti prekinuta zbog Praćenja veze sigurnosne grupe.

EC2 Menadžer životnog ciklusa

Ova usluga omogućava da se zakazivanje kreiranja AMI-a i snimaka i čak deljenje sa drugim nalozima.
Napadač bi mogao da konfiguriše generisanje AMI-a ili snimaka svih slika ili svih volumena svake nedelje i podeli ih sa svojim nalogom.

Zakazane instance

Moguće je zakazati instance da se pokreću dnevno, nedeljno ili čak mesečno. Napadač bi mogao da pokrene mašinu sa visokim privilegijama ili zanimljivim pristupom gde bi mogao da pristupi.

Spot Fleet Zahtev

Spot instance su jeftinije od redovnih instanci. Napadač bi mogao da pokrene mali spot fleet zahtev za 5 godina (na primer), sa automatskom IP dodelom i korisničkim podacima koji šalju napadaču kada spot instanca počne i IP adresu i sa IAM ulogom visokih privilegija.

Backdoor instance

Napadač bi mogao da dobije pristup instancama i da ih backdoor-uje:

• Koristeći tradicionalni rootkit na primer
• Dodajući novu javnu SSH ključ (proverite EC2 privesc opcije)
• Backdoor-ovanje Korisničkih podataka

Backdoor Konfiguracija pokretanja

• Backdoor-ovati korišćeni AMI
• Backdoor-ovati Korisničke podatke
• Backdoor-ovati Par ključeva

VPN

Kreirati VPN tako da napadač može direktno da se poveže kroz njega sa VPC-om.

VPC Peering

Kreirati peering vezu između VPC-a žrtve i VPC-a napadača kako bi mogao da pristupi VPC-u žrtve.