gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 06:30:35 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
03ee8170c6ad7ce0c763f1a33fb4bfd98a0fdea8
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence
History

README.md

AWS - EC2 Persistence

{{#include ../../../../banners/hacktricks-training.md}}

EC2

Para más información consulta:

{{#ref}} ../../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/ {{#endref}}

Security Group Connection Tracking Persistence

Si un defensor detecta que una instancia EC2 fue comprometida, probablemente intentará aislar la red de la máquina. Puede hacerlo con un Deny NACL explícito (pero los NACLs afectan a toda la subred), o cambiando el security group para no permitir ningún tipo de tráfico entrante o saliente.

Si el atacante tenía una reverse shell originada desde la máquina, incluso si el SG se modifica para no permitir tráfico entrante o saliente, la conexión no se terminará debido a Security Group Connection Tracking.

EC2 Lifecycle Manager

Este servicio permite programar la creación de AMIs and snapshots e incluso compartirlas con otras cuentas.
Un atacante podría configurar la generación de AMIs or snapshots de todas las imágenes o de todos los volúmenes cada semana y compartirlas con su cuenta.

Scheduled Instances

Es posible programar instancias para ejecutarse diariamente, semanalmente o incluso mensualmente. Un atacante podría mantener en ejecución una máquina con altos privilegios o acceso interesante que pudiera usar.

Spot Fleet Request

Las spot instances son más baratas que las instancias regulares. Un atacante podría lanzar una small spot fleet request for 5 year (por ejemplo), con asignación de IP automática y un user data que envíe al atacante cuando la spot instance arranque la dirección IP, y con un IAM role de altos privilegios.

Backdoor Instances

Un atacante podría obtener acceso a las instancias y backdoorearlas:

  • Usando un rootkit tradicional, por ejemplo
  • Añadiendo una nueva public SSH key (consulta EC2 privesc options)
  • Backdooring el User Data

Backdoor Launch Configuration

  • Backdoor the used AMI
  • Backdoor the User Data
  • Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Swap the root EBS volume of a running instance for one built from an attacker-controlled AMI or snapshot using CreateReplaceRootVolumeTask. The instance keeps its ENIs, IPs, and role, effectively booting into malicious code while appearing unchanged.

{{#ref}} ../aws-ec2-replace-root-volume-persistence/README.md {{#endref}}

VPN

Crear una VPN para que el atacante pueda conectarse directamente al VPC.

VPC Peering

Crear una conexión de peering entre el VPC de la víctima y el VPC del atacante para que pueda acceder al VPC de la víctima.

{{#include ../../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink