我們擅長商業(yè)策略與用戶體驗的完美結(jié)合。
歡迎瀏覽我們的案例。
網(wǎng)絡安全研究人員在亞馬遜云平臺(AWS)中發(fā)現(xiàn)了一種新的后滲透漏洞,能允許 AWS 系統(tǒng)管理器代理(SSM 代理)作為遠程訪問木馬在 Windows 和 Linux 環(huán)境中運行。
Mitiga 的研究人員 Ariel Szarf 和 Or Aspir 在與 The Hacker News 分享的一份報告中說:“SSM 代理是管理員用來管理實例的合法工具,攻擊者如果在安裝 SSM 代理的端點上獲得了高權(quán)限訪問,就可以重新利用它來持續(xù)開展惡意活動。”
SSM Agent 是一個安裝在 Amazon EC2 實例上的軟件,使管理員可以通過統(tǒng)一界面更新、管理和配置其 AWS 資源。
使用 SSM 代理作為木馬具有諸多優(yōu)點,能受到端點安全解決方案的信任,并且無需部署可能觸發(fā)檢測的其他惡意軟件。為了進一步混淆視聽,攻擊者可以使用自己的惡意 AWS 帳戶作為命令和控制 (C2) 來遠程監(jiān)控受感染的 SSM 代理。
Mitiga 詳細介紹的后滲透技術(shù)假定攻擊者已經(jīng)擁有在安裝并運行了 SSM Agent 的 Linux 或 Windows 端點上執(zhí)行命令的權(quán)限,這需要將 SSM Agent 注冊為在 "混合 "模式下運行,允許與 EC2 實例所在的原始 AWS 賬戶之外的不同 AWS 賬戶通信。這會導致 SSM 代理從攻擊者擁有的 AWS 賬戶執(zhí)行命令。
另一種方法是使用 Linux 命名空間功能啟動第二個 SSM 代理進程,該進程與攻擊者的 AWS 賬戶進行通信,而已在運行的 SSM 代理則繼續(xù)與原始 AWS 賬戶進行通信。
最后。Mitiga 發(fā)現(xiàn) SSM 代理功能可能被濫用,將 SSM 流量路由到攻擊者控制的服務器(包括非 AWS 賬戶端點),從而允許攻擊者控制 SSM 代理而無需依賴 AWS 基礎設施。
Mitiga 建議企業(yè)從防病毒解決方案相關的允許列表中刪除 SSM 二進制文件,以檢測任何異常活動跡象,并確保 EC2 實例響應僅來自使用系統(tǒng)管理器虛擬私有云 (VPC) 端點的原始 AWS 賬戶的命令。
(邯鄲小程序)
