AWS - Malicious VPC Mirror

Reading time: 3 minutes

Proverite https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws za dalјe detalje o napadu!

Pasivna mrežna inspekcija u cloud okruženju je bila izazovna, zahtevajući velike promene u konfiguraciji za praćenje mrežnog saobraćaja. Međutim, nova funkcija pod nazivom “VPC Traffic Mirroring” je uvedena od strane AWS-a kako bi se pojednostavio ovaj proces. Sa VPC Traffic Mirroring, mrežni saobraćaj unutar VPC-a može biti dupliran bez instaliranja bilo kakvog softvera na samim instancama. Ovaj duplirani saobraćaj može biti poslat na sistem za detekciju mrežnih upada (IDS) radi analize.

Da bismo odgovorili na potrebu za automatskom implementacijom potrebne infrastrukture za mirroring i eksfiltraciju VPC saobraćaja, razvili smo skriptu za dokazivanje koncepta pod nazivom “malmirror”. Ova skripta se može koristiti sa kompromitovanim AWS kredencijalima za postavljanje mirroring-a za sve podržane EC2 instance u ciljanom VPC-u. Važno je napomenuti da VPC Traffic Mirroring podržavaju samo EC2 instance pokretane AWS Nitro sistemom, a VPC cilj za mirroring mora biti unutar istog VPC-a kao i hostovi koji se mirroring-uju.

Uticaj zlonamernog VPC saobraćaja može biti značajan, jer omogućava napadačima pristup osetljivim informacijama koje se prenose unutar VPC-a. Verovatnoća takvog zlonamernog mirroring-a je visoka, s obzirom na prisustvo saobraćaja u čistom tekstu koji prolazi kroz VPC-e. Mnoge kompanije koriste protokole u čistom tekstu unutar svojih internih mreža iz razloga performansi, pretpostavljajući da tradicionalni napadi tipa man-in-the-middle nisu mogući.

Za više informacija i pristup malmirror skripti, može se pronaći u našoj GitHub repozitoriji. Skripta automatizuje i pojednostavljuje proces, čineći ga brzim, jednostavnim i ponovljivim za svrhe ofanzivnog istraživanja.