網(wǎng)絡(luò )安全研究人員在亞馬遜云平臺(AWS)中發(fā)現了一種新的后滲透漏洞�,能允許 AWS 系統管理器代理(SSM 代理)作為遠程訪(fǎng)問(wèn)木馬在 Windows 和 Linux 環(huán)境中運行�。
圖片來(lái)自網(wǎng)絡(luò )/侵刪
Mitiga 的研究人員 Ariel Szarf 和 Or Aspir 在與 The Hacker News 分享的一份報告中說(shuō):“SSM 代理是管理員用來(lái)管理實(shí)例的合法工具��,攻擊者如果在安裝 SSM 代理的端點(diǎn)上獲得了高權限訪(fǎng)問(wèn)�����,就可以重新利用它來(lái)持續開(kāi)展惡意活動(dòng)��。”
SSM Agent 是一個(gè)安裝在 Amazon EC2 實(shí)例上的軟件���,使管理員可以通過(guò)統一界面更新�����、管理和配置其 AWS 資源����。
使用 SSM 代理作為木馬具有諸多優(yōu)點(diǎn)����,能受到端點(diǎn)安全解決方案的信任���,并且無(wú)需部署可能觸發(fā)檢測的其他惡意軟件��。為了進(jìn)一步混淆視聽(tīng)�,攻擊者可以使用自己的惡意 AWS 帳戶(hù)作為命令和控制 (C2) 來(lái)遠程監控受感染的 SSM 代理�����。
Mitiga 詳細介紹的后滲透技術(shù)假定攻擊者已經(jīng)擁有在安裝并運行了 SSM Agent 的 Linux 或 Windows 端點(diǎn)上執行命令的權限��,這需要將 SSM Agent 注冊為在 "混合 "模式下運行�����,允許與 EC2 實(shí)例所在的原始 AWS 賬戶(hù)之外的不同 AWS 賬戶(hù)通信��。這會(huì )導致 SSM 代理從攻擊者擁有的 AWS 賬戶(hù)執行命令�。
另一種方法是使用 Linux 命名空間功能啟動(dòng)第二個(gè) SSM 代理進(jìn)程�,該進(jìn)程與攻擊者的 AWS 賬戶(hù)進(jìn)行通信��,而已在運行的 SSM 代理則繼續與原始 AWS 賬戶(hù)進(jìn)行通信�。
最后�。Mitiga 發(fā)現 SSM 代理功能可能被濫用���,將 SSM 流量路由到攻擊者控制的服務(wù)器(包括非 AWS 賬戶(hù)端點(diǎn))���,從而允許攻擊者控制 SSM 代理而無(wú)需依賴(lài) AWS 基礎設施����。
Mitiga 建議企業(yè)從防病毒解決方案相關(guān)的允許列表中刪除 SSM 二進(jìn)制文件�����,以檢測任何異?;顒?dòng)跡象��,并確保 EC2 實(shí)例響應僅來(lái)自使用系統管理器虛擬私有云 (VPC) 端點(diǎn)的原始 AWS 賬戶(hù)的命令��。
?����。?a href="http://www.lp2018.com">邯鄲小程序)
