HackTricks CloudAWS - EC2 Persistence
Tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
EC2
For more information check:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Security Group Connection Tracking Persistence
Ako defensor otkrije da je EC2 instance was compromised verovatno će pokušati da isolate network mašine. Može to uraditi eksplicitnim Deny NACL-om (ali NACLs utiču na ceo subnet), ili changing the security group tako da ne dozvoli any kind of inbound or outbound saobraćaj.
Ako je napadač imao reverse shell originated from the machine, čak i ako je SG izmenjen da ne dozvoljava inbound ili outbound saobraćaj, veza se neće prekinuti zbog Security Group Connection Tracking.
EC2 Lifecycle Manager
Ovaj servis dozvoljava da se schedule creation of AMIs and snapshots i čak share them with other accounts.
Napadač može konfigurисati generation of AMIs or snapshots svih image-ova ili svih volumena every week i share them with his account.
Scheduled Instances
Moguće je schedule-ovati instance da se pokreću dnevno, nedeljno ili čak mesečno. Napadač bi mogao pokretati mašinu sa visokim privilegijama ili interesantnim pristupom gde bi mogao da pristupi.
Spot Fleet Request
Spot instances su cheaper od regularnih instanci. Napadač može pokrenuti small spot fleet request for 5 year (na primer), sa automatic IP dodelom i user data koji šalje napadaču when the spot instance start i IP address, kao i sa high privileged IAM role.
Backdoor Instances
Napadač može dobiti pristup instancama i backdoor-ovati ih:
- Using a traditional rootkit for example
- Adding a new public SSH key (check EC2 privesc options)
- Backdooring the User Data
Backdoor Launch Configuration
- Backdoor the used AMI
- Backdoor the User Data
- Backdoor the Key Pair
EC2 ReplaceRootVolume Task (Stealth Backdoor)
Zameni root EBS volume pokrenute instance sa onim izgrađenim iz attacker-controlled AMI ili snapshot koristeći CreateReplaceRootVolumeTask. Instanca zadržava svoje ENIs, IPs i role, efektivno boota u maliciozni kod dok izgleda nepromenjeno.
AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)
VPN
Kreiraj VPN tako da napadač može direktno da se poveže kroz njega na VPC.
VPC Peering
Kreiraj peering konekciju između victim VPC i attacker VPC tako da će moći pristupiti victim VPC.
Tip
Učite i vežbajte AWS Hacking:
Učite i vežbajte GCP Hacking:Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.