Les attaquants peuvent transformer les agents AWS SSM en chevaux de Troie d'accès à distance
Les chercheurs de Mitiga ont documenté une nouvelle technique post-exploitation que les attaquants peuvent utiliser pour obtenir un accès à distance persistant aux instances AWS Elastic Compute Cloud (EC2) (serveurs virtuels), ainsi qu'aux machines non EC2 (par exemple, les serveurs d'entreprise sur site et les serveurs virtuels). machines et machines virtuelles dans d’autres environnements cloud).
Le succès de cette technique du « vivre de la terre » repose sur :
« Après avoir contrôlé l'agent SSM, les attaquants peuvent mener des activités malveillantes, telles que le vol de données, le cryptage du système de fichiers (en tant que ransomware), l'utilisation abusive des ressources des points de terminaison pour l'extraction de crypto-monnaie et tenter de se propager à d'autres points de terminaison du réseau – le tout sous couvert d'utiliser un logiciel légitime, l'agent SSM », ont expliqué les chercheurs de Mitiga Ariel Szarf et Or Aspir.
Les chercheurs ont testé deux scénarios différents, et le niveau d'accès requis pour les deux est élevé. Dans le premier scénario, l'auteur de la menace requiert un accès root sur la machine Linux ciblée ou des privilèges d'administrateur sur le système Windows ciblé, tandis que dans le second, il doit pouvoir s'exécuter au moins en tant qu'utilisateur privilégié non root sur la machine Linux ciblée ou en tant qu'administrateur sur le système Windows ciblé.
« [Dans le premier scénario], l'attaque « détourne » le processus d'origine de l'agent SSM en enregistrant l'agent SSM pour qu'il fonctionne en mode « hybride » avec un compte AWS différent, l'obligeant à ne pas choisir le serveur de métadonnées pour la consommation d'identité. Ensuite, l'agent SSM communiquera et exécutera les commandes de l'attaquant sur le compte AWS détenu », ont-ils expliqué.
Dans le deuxième scénario, l'attaquant exécute un autre processus de l'agent SSM en utilisant des espaces de noms Linux ou en définissant des variables d'environnement spécifiques sous Windows. « Le processus de l'agent malveillant communique avec le compte AWS de l'attaquant, laissant l'agent SSM d'origine continuer à communiquer avec le compte AWS d'origine. »
Et si l'acteur malveillant préfère ne pas utiliser de compte AWS pour gérer les agents, il n'est pas obligé de le faire : il existe une fonctionnalité SSM qui peut être utilisée de manière abusive pour acheminer le trafic SSM vers un serveur contrôlé par l'attaquant (c'est-à-dire pas via les serveurs AWS). ).
Transformer l'agent SSM en cheval de Troie d'accès à distance permet aux attaquants de compromettre les points finaux sans se faire repérer par les solutions de sécurité installées. Les communications C&C semblent légitimes, il n'est pas nécessaire de développer une infrastructure d'attaque distincte et l'agent SSM peut être utilisé pour manipuler le point de terminaison via les fonctionnalités prises en charge.
Le fait que l'agent SSM soit préinstallé sur certaines images de machines Amazon populaires et qu'il soit donc déjà installé et exécuté sur de nombreuses instances EC2 existantes élargit le bassin de cibles potentielles pour les adversaires, ont souligné les chercheurs.
Heureusement, il existe des moyens de détecter l’utilisation de cette technique. Ils incluent : la surveillance des nouveaux ID d'instance, l'utilisation de commandes spécifiques, les connexions perdues aux agents SSM dans le compte AWS, les nouveaux processus et les actions suspectes liées à Sessions Manager dans les journaux Amazon CloudTrail.
Les chercheurs conseillent aux administrateurs système d’entreprise de :
« Nous sommes convaincus que les acteurs malveillants en abuseront lors d'attaques réelles, s'ils ne le font pas déjà. Pour cette raison, comprendre et atténuer les risques associés à son utilisation abusive est crucial pour protéger les systèmes contre cette menace évolutive », ont-ils noté, et ont souligné que l'équipe de sécurité AWS a également proposé une solution pour restreindre la réception de commandes de l'AWS d'origine. compte/organisation utilisant le point de terminaison Virtual Private Cloud (VPC) pour Systems Manager.
« Si vos instances EC2 se trouvent dans un sous-réseau privé sans accès au réseau public via une adresse EIP publique ou une passerelle NAT, vous pouvez toujours configurer le service System Manager via un point de terminaison d'un VPC. Ce faisant, vous pouvez garantir que les instances EC2 répondent uniquement aux commandes provenant des mandataires au sein de leur compte ou organisation AWS d'origine. Pour implémenter efficacement cette restriction, reportez-vous à la documentation sur la stratégie de point de terminaison de VPC.