gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 13:43:24 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
08a4831ca6db12b96dd0eeb2f9da721b2b47e67e
hacktricks-cloud/src/pentesting-cloud/aws-security/aws-persistence/aws-ec2-persistence/README.md

2.9 KiB
Raw Blame History

AWS - EC2 Persistence

{{#include ../../../../banners/hacktricks-training.md}}

EC2

Per maggiori informazioni consulta:

{{#ref}} ../../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/ {{#endref}}

Security Group Connection Tracking Persistence

Se un difensore scopre che un'EC2 instance è stata compromessa probabilmente cercherà di isolare la rete della macchina. Potrebbe farlo con un esplicito Deny NACL (ma gli NACLs interessano l'intera subnet), o modificando il security group in modo da non permettere alcun traffico in ingresso o in uscita.

Se l'attaccante ha una reverse shell originata dalla macchina, anche se il SG viene modificato per non permettere traffico in ingresso o in uscita, la connessione non verrà terminata a causa di Security Group Connection Tracking.

EC2 Lifecycle Manager

Questo servizio permette di pianificare la creazione di AMIs e snapshots e persino di condividerli con altri account.
Un attaccante potrebbe configurare la generazione di AMIs o snapshots di tutte le immagini o di tutti i volumi ogni settimana e condividerli con il proprio account.

Scheduled Instances

È possibile schedulare le instances per essere eseguite giornalmente, settimanalmente o anche mensilmente. Un attaccante potrebbe eseguire una macchina con privilegi elevati o con accesso interessante a cui potrebbe connettersi.

Spot Fleet Request

Le spot instances sono più economiche delle instances regolari. Un attaccante potrebbe avviare una small spot fleet request per 5 year (ad esempio), con assegnazione di automatic IP e un user data che invii all'attaccante quando la spot instance parte l'indirizzo IP e con un high privileged IAM role.

Backdoor Instances

Un attaccante potrebbe ottenere accesso alle instances e installare una backdoor:

  • Usando, per esempio, un rootkit tradizionale
  • Aggiungendo una nuova public SSH key (check EC2 privesc options)
  • Backdooring il User Data

Backdoor Launch Configuration

  • Backdoor the used AMI
  • Backdoor the User Data
  • Backdoor the Key Pair

EC2 ReplaceRootVolume Task (Stealth Backdoor)

Scambia il root EBS volume di un'istanza in esecuzione con uno costruito da un AMI o snapshot controllato dall'attaccante usando CreateReplaceRootVolumeTask. L'istanza mantiene le sue ENIs, IPs, and role, avviando efficacemente codice malevolo pur apparendo invariata.

{{#ref}} ../aws-ec2-replace-root-volume-persistence/README.md {{#endref}}

VPN

Creare una VPN in modo che l'attaccante possa connettersi direttamente alla VPC.

VPC Peering

Creare una connessione di peering tra la VPC vittima e la VPC dell'attaccante in modo che questi possa accedere alla VPC vittima.

{{#include ../../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink