HackTricks CloudAWS - EC2 Персистентність
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
EC2
Для детальнішої інформації дивіться:
AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
Security Group Connection Tracking Persistence
Якщо захисник виявить, що EC2 instance було скомпрометовано, він, ймовірно, спробує ізолювати мережу машини. Він може зробити це за допомогою явного Deny NACL (але NACLs впливають на всю підмережу), або змінивши security group, щоб не дозволяти жодного вхідного або вихідного трафіку.
Якщо атакував мав reverse shell, що ініціювався з машини, навіть якщо SG змінено так, що не дозволяє вхідний або вихідний трафік, з'єднання не буде розірване через Security Group Connection Tracking.
EC2 Lifecycle Manager
Цей сервіс дозволяє планувати створення AMIs та snapshots і навіть ділитися ними з іншими акаунтами.
Атакуючий може налаштувати генерацію AMIs або snapshots усіх образів або всіх томів щотижня і ділитися ними зі своїм акаунтом.
Scheduled Instances
Можна планувати запуск instances щоденно, щотижнево або навіть щомісяця. Атакуючий може запускати машину з високими привілеями або цікавим доступом, до якої він зможе потрапити.
Spot Fleet Request
Spot instances є дешевшими, ніж звичайні instances. Атакуючий може запустити невеликий spot fleet request на 5 років (наприклад), з автоматичним призначенням IP та user data, яка надсилає атакуючому коли spot instance стартує і IP-адресу, та з високопривілейованим IAM role.
Backdoor Instances
Атакуючий може отримати доступ до instances і закласти в них бекдор:
- Використовуючи традиційний rootkit, наприклад
- Додавши новий public SSH key (див. EC2 privesc options)
- Заклавши бекдор у User Data
Backdoor Launch Configuration
- Backdoor the used AMI
- Backdoor the User Data
- Backdoor the Key Pair
EC2 ReplaceRootVolume Task (Stealth Backdoor)
Замінити кореневий EBS volume запущеного instance на той, що створений з AMI або snapshot, контрольованих атакуючим, використовуючи CreateReplaceRootVolumeTask. Instance зберігає свої ENIs, IPs та роль, фактично завантажуючись у шкідливий код, при цьому виглядаючи незміненим.
AWS - EC2 ReplaceRootVolume Task (Stealth Backdoor / Persistence)
VPN
Створити VPN, щоб атакуючий міг підключатися безпосередньо до VPC.
VPC Peering
Створити peering connection між victim VPC та attacker VPC, щоб він міг отримати доступ до victim VPC.
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Підтримка HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.