AWS - EC2 Persistence

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

EC2

Daha fazla bilgi için bakınız:

AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum

Security Group Connection Tracking Persistence

Eğer bir savunmacı bir EC2 instance ele geçirildiğini fark ederse, muhtemelen makinenin ağını izole etmeye çalışacaktır. Bunu açık bir Deny NACL ile yapabilir (ama NACLs tüm subnet’i etkiler), veya security group’u değiştirerek herhangi bir inbound veya outbound trafiğe izin vermeyecek şekilde ayarlayabilir.

Eğer saldırganın makineden kaynaklanan bir reverse shell’i varsa, SG değiştirilsede veya inbound/outbound engellense bile, bağlantı Security Group Connection Tracking nedeniyle sonlandırılmayacaktır.

EC2 Lifecycle Manager

Bu service, AMIs ve snapshots oluşturmayı zamanlamaya ve hatta başka hesaplarla paylaşmaya izin verir.
Bir saldırgan, tüm görüntülerin veya tüm volume’ların her hafta AMI veya snapshot oluşturulmasını yapılandırıp bunları kendi hesabıyla paylaşacak şekilde ayarlayabilir.

Scheduled Instances

Instance’ları günlük, haftalık veya aylık çalışacak şekilde zamanlamak mümkündür. Bir saldırgan, yüksek ayrıcalıklı veya ilginç erişime sahip bir makineyi periyodik olarak çalıştırabilir.

Spot Fleet Request

Spot instances, normal instance’lardan daha ucuzdur. Bir saldırgan örneğin 5 yıl için küçük bir spot fleet request başlatabilir; otomatik IP ataması ve spot instance başladığında saldırgana IP adresini gönderen bir user data ile ve yüksek ayrıcalıklı bir IAM role ile.

Backdoor Instances

Bir saldırgan instance’lara erişip onları backdoor’layabilir:

  • Örneğin geleneksel bir rootkit kullanarak
  • Yeni bir public SSH key ekleyerek (bkz. EC2 privesc options)
  • User Data’yı backdoor’layarak

Backdoor Launch Configuration

  • Kullanılan AMI’yi backdoor’la
  • User Data’yı backdoor’la
  • Key Pair’i backdoor’la

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Çalışan bir instance’ın root EBS volume’unu, saldırgan kontrollü bir AMI veya snapshot’tan oluşturulmuş olanla CreateReplaceRootVolumeTask kullanarak değiştir. Instance ENIs, IP’ler ve role’u korur; böylece görünürde değişmeden kötü amaçlı koda boot eder.

AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)

VPN

Bir VPN oluşturarak saldırganın VPC’ye doğrudan bağlanabilmesini sağla.

VPC Peering

Hedef VPC ile saldırgan VPC’si arasında bir peering connection oluşturarak saldırganın hedef VPC’ye erişebilmesini sağla.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin