網(wǎng)絡(luò)安全研究人員在亞馬遜云平臺(tái)(AWS)中發(fā)現(xiàn)了一種新的后滲透漏洞,能允許 AWS 系統(tǒng)管理器代理(SSM 代理)作為遠(yuǎn)程訪問(wèn)木馬在 Windows 和 Linux 環(huán)境中運(yùn)行�。
圖片來(lái)自網(wǎng)絡(luò)/侵刪
Mitiga 的研究人員 Ariel Szarf 和 Or Aspir 在與 The Hacker News 分享的一份報(bào)告中說(shuō):“SSM 代理是管理員用來(lái)管理實(shí)例的合法工具,攻擊者如果在安裝 SSM 代理的端點(diǎn)上獲得了高權(quán)限訪問(wèn)��,就可以重新利用它來(lái)持續(xù)開(kāi)展惡意活動(dòng)�。”
SSM Agent 是一個(gè)安裝在 Amazon EC2 實(shí)例上的軟件,使管理員可以通過(guò)統(tǒng)一界面更新�、管理和配置其 AWS 資源。
使用 SSM 代理作為木馬具有諸多優(yōu)點(diǎn)��,能受到端點(diǎn)安全解決方案的信任�,并且無(wú)需部署可能觸發(fā)檢測(cè)的其他惡意軟件。為了進(jìn)一步混淆視聽(tīng)�����,攻擊者可以使用自己的惡意 AWS 帳戶(hù)作為命令和控制 (C2) 來(lái)遠(yuǎn)程監(jiān)控受感染的 SSM 代理���。
Mitiga 詳細(xì)介紹的后滲透技術(shù)假定攻擊者已經(jīng)擁有在安裝并運(yùn)行了 SSM Agent 的 Linux 或 Windows 端點(diǎn)上執(zhí)行命令的權(quán)限�����,這需要將 SSM Agent 注冊(cè)為在 "混合 "模式下運(yùn)行����,允許與 EC2 實(shí)例所在的原始 AWS 賬戶(hù)之外的不同 AWS 賬戶(hù)通信���。這會(huì)導(dǎo)致 SSM 代理從攻擊者擁有的 AWS 賬戶(hù)執(zhí)行命令�����。
另一種方法是使用 Linux 命名空間功能啟動(dòng)第二個(gè) SSM 代理進(jìn)程����,該進(jìn)程與攻擊者的 AWS 賬戶(hù)進(jìn)行通信�,而已在運(yùn)行的 SSM 代理則繼續(xù)與原始 AWS 賬戶(hù)進(jìn)行通信。
最后����。Mitiga 發(fā)現(xiàn) SSM 代理功能可能被濫用,將 SSM 流量路由到攻擊者控制的服務(wù)器(包括非 AWS 賬戶(hù)端點(diǎn))���,從而允許攻擊者控制 SSM 代理而無(wú)需依賴(lài) AWS 基礎(chǔ)設(shè)施��。
Mitiga 建議企業(yè)從防病毒解決方案相關(guān)的允許列表中刪除 SSM 二進(jìn)制文件�,以檢測(cè)任何異?����;顒?dòng)跡象,并確保 EC2 實(shí)例響應(yīng)僅來(lái)自使用系統(tǒng)管理器虛擬私有云 (VPC) 端點(diǎn)的原始 AWS 賬戶(hù)的命令����。
(邯鄲小程序)
