AWS - EC2 持久性

EC2

有关更多信息，请查看：

{{#ref}} ../aws-services/aws-ec2-ebs-elb-ssm-vpc-and-vpn-enum/ {{#endref}}

如果防御者发现EC2 实例被攻陷，他可能会尝试隔离该机器的网络。他可以通过显式的拒绝 NACL（但 NACL 会影响整个子网）或更改安全组来不允许任何类型的入站或出站流量。

如果攻击者从该机器获得了反向 shell，即使安全组被修改为不允许入站或出站流量，连接也不会被终止，因为 安全组连接跟踪。

该服务允许调度创建 AMI 和快照，甚至与其他账户共享。
攻击者可以配置每周生成所有镜像或所有卷的 AMI 或快照并与他的账户共享。

可以调度实例每天、每周甚至每月运行。攻击者可以运行一台具有高权限或有趣访问权限的机器。

Spot 实例比常规实例便宜。攻击者可以发起一个为期 5 年的小型 Spot Fleet 请求（例如），并自动分配 IP，以及一个用户数据，在 Spot 实例启动时发送给攻击者和 IP 地址，并带有高权限的 IAM 角色。

攻击者可以访问实例并对其进行后门处理：

创建一个 VPN，以便攻击者能够直接通过它连接到 VPC。

在受害者 VPC 和攻击者 VPC 之间创建对等连接，以便他能够访问受害者 VPC。