網(wǎng)絡(luò )安全研究人員在亞馬遜云平臺(AWS)中發(fā)現了一種新的后滲透漏洞����,能允許 AWS 系統管理器代理(SSM 代理)作為遠程訪(fǎng)問(wèn)木馬在 Windows 和 Linux 環(huán)境中運行�。
圖片來(lái)自網(wǎng)絡(luò )/侵刪
Mitiga 的研究人員 Ariel Szarf 和 Or Aspir 在與 The Hacker News 分享的一份報告中說(shuō):“SSM 代理是管理員用來(lái)管理實(shí)例的合法工具�,攻擊者如果在安裝 SSM 代理的端點(diǎn)上獲得了高權限訪(fǎng)問(wèn)��,就可以重新利用它來(lái)持續開(kāi)展惡意活動(dòng)�。”
SSM Agent 是一個(gè)安裝在 Amazon EC2 實(shí)例上的軟件�����,使管理員可以通過(guò)統一界面更新��、管理和配置其 AWS 資源����。
使用 SSM 代理作為木馬具有諸多優(yōu)點(diǎn)���,能受到端點(diǎn)安全解決方案的信任�����,并且無(wú)需部署可能觸發(fā)檢測的其他惡意軟件�����。為了進(jìn)一步混淆視聽(tīng)����,攻擊者可以使用自己的惡意 AWS 帳戶(hù)作為命令和控制 (C2) 來(lái)遠程監控受感染的 SSM 代理�����。
Mitiga 詳細介紹的后滲透技術(shù)假定攻擊者已經(jīng)擁有在安裝并運行了 SSM Agent 的 Linux 或 Windows 端點(diǎn)上執行命令的權限�����,這需要將 SSM Agent 注冊為在 "混合 "模式下運行����,允許與 EC2 實(shí)例所在的原始 AWS 賬戶(hù)之外的不同 AWS 賬戶(hù)通信����。這會(huì )導致 SSM 代理從攻擊者擁有的 AWS 賬戶(hù)執行命令�����。
另一種方法是使用 Linux 命名空間功能啟動(dòng)第二個(gè) SSM 代理進(jìn)程����,該進(jìn)程與攻擊者的 AWS 賬戶(hù)進(jìn)行通信���,而已在運行的 SSM 代理則繼續與原始 AWS 賬戶(hù)進(jìn)行通信�����。
最后�。Mitiga 發(fā)現 SSM 代理功能可能被濫用���,將 SSM 流量路由到攻擊者控制的服務(wù)器(包括非 AWS 賬戶(hù)端點(diǎn))����,從而允許攻擊者控制 SSM 代理而無(wú)需依賴(lài) AWS 基礎設施����。
Mitiga 建議企業(yè)從防病毒解決方案相關(guān)的允許列表中刪除 SSM 二進(jìn)制文件���,以檢測任何異?����;顒?dòng)跡象�����,并確保 EC2 實(shí)例響應僅來(lái)自使用系統管理器虛擬私有云 (VPC) 端點(diǎn)的原始 AWS 賬戶(hù)的命令����。
?���。?a href="http://www.jinztz.com">邯鄲小程序)
