Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Злоумышленники могут превратить агенты AWS SSM в троянов удаленного доступа
Исследователи Mitiga задокументировали новую технику после эксплуатации, которую злоумышленники могут использовать для получения постоянного удаленного доступа к экземплярам AWS Elastic Compute Cloud (EC2) (виртуальным серверам), а также к машинам, отличным от EC2 (например, локальным корпоративным серверам и виртуальным серверам). машины и виртуальные машины в других облачных средах).
Успех этого метода «жизни за счет земли» зависит от:
«После контроля над агентом SSM злоумышленники могут осуществлять вредоносные действия, такие как кража данных, шифрование файловой системы (в качестве программы-вымогателя), неправомерное использование ресурсов конечных точек для добычи криптовалюты и попытки распространения на другие конечные точки в сети – и все это под прикрытием использования законного программного обеспечения, агента SSM», — объяснили исследователи Mitiga Ариэль Шарф и Ор Аспир.
Исследователи опробовали два разных сценария, и для обоих требуется высокий уровень доступа. В первом сценарии злоумышленнику требуется root-доступ на целевом компьютере с Linux или права администратора в целевой системе Windows, а во втором он должен иметь возможность работать по крайней мере от имени пользователя без привилегий root на целевом компьютере с Linux или от имени администратора на целевом компьютере с Linux. целевую систему Windows.
«[В первом сценарии] атака «захватывает» исходный процесс агента SSM путем регистрации агента SSM для работы в «гибридном» режиме с другой учетной записью AWS, заставляя его не выбирать сервер метаданных для использования идентификационных данных. Затем агент SSM будет связываться и выполнять команды от злоумышленника, принадлежащего учетной записи AWS», — пояснили они.
Во втором сценарии злоумышленник запускает другой процесс агента SSM, используя пространства имен Linux или устанавливая определенные переменные среды в Windows. «Процесс вредоносного агента взаимодействует с учетной записью AWS злоумышленника, оставляя исходный агент SSM продолжать связь с исходной учетной записью AWS».
И если злоумышленник предпочитает не использовать учетную запись AWS для управления агентами, ему это не обязательно: есть функция SSM, которой можно злоупотребить, чтобы направить трафик SSM на сервер, контролируемый злоумышленником (т. е. не через серверы AWS). ).
Превращение агента SSM в трояна удаленного доступа позволяет злоумышленникам скомпрометировать конечные точки, не будучи обнаруженными установленными решениями безопасности. Коммуникации C&C кажутся законными, нет необходимости разрабатывать отдельную инфраструктуру для атак, а агент SSM можно использовать для манипулирования конечной точкой с помощью поддерживаемых функций.
Исследователи отмечают, что тот факт, что агент SSM предустановлен на некоторых популярных образах компьютеров Amazon и, таким образом, уже установлен и работает на многих существующих экземплярах EC2, расширяет круг потенциальных целей для злоумышленников.
К счастью, есть способы обнаружить использование этой техники. К ним относятся: отслеживание новых идентификаторов экземпляров, использование определенных команд, потеря соединений с агентами SSM в учетной записи AWS, новые процессы и подозрительные действия, связанные с диспетчером сеансов, в журналах Amazon CloudTrail.
Исследователи советуют системным администраторам предприятий:
«Мы твердо уверены, что злоумышленники будут злоупотреблять этим во время атак в реальном мире, если они уже этого не сделают. По этой причине понимание и снижение рисков, связанных с его неправильным использованием, имеет решающее значение для защиты систем от этой развивающейся угрозы», — отметили они и отметили, что команда AWS Security также предложила решение, позволяющее ограничить получение команд от исходной версии AWS. учетная запись/организация, использующая конечную точку виртуального частного облака (VPC) для Systems Manager.
«Если ваши экземпляры EC2 находятся в частной подсети и не имеют доступа к общедоступной сети через общедоступный адрес EIP или шлюз NAT, вы все равно можете настроить службу System Manager через конечную точку VPC. Таким образом вы можете быть уверены, что экземпляры EC2 будут отвечать только на команды, исходящие от участников их исходной учетной записи или организации AWS. Чтобы эффективно реализовать это ограничение, обратитесь к документации по политике конечных точек VPC.