亚马逊EC2实例上的合法工具SSM代理被滥用
SSM代理是指AWS(亚马逊云平台)系统管理器代理(AWS Systems Manager Agent,简称SSM Agent)。它是一种安装在Amazon EC2实例上的软件,作为AWS系统管理器的一部分,使管理员能够通过统一界面更新、管理和配置其AWS资源。
SSM代理的作用是为管理员提供更便捷的远程管理功能,通过AWS系统管理器可以对EC2实例进行远程管理和操作,包括软件和系统配置、软件安装、日志收集、性能监控、安全补丁管理等。通过SSM代理,管理员无需直接登录到实例上,可以通过AWS控制台或命令行界面来执行操作,这大大简化了管理和维护AWS资源的过程。
然而,近期网络安全研究人员发现了一种新的后渗透攻击手法,利用SSM代理作为远程访问木马,攻击者如果获取了在安装SSM代理的端点上执行命令的高权限访问,就可以重新利用SSM代理进行恶意活动。这种攻击方式让合法工具变成了攻击者的潜在利器,对AWS环境的安全构成了一定威胁。为了保护云环境的安全,企业需要加强对SSM代理的监控和管理,确保只有授权的人员能够访问和操作AWS资源,并及时发现和应对潜在的后渗透攻击。
SSM代理作为一种合法工具,旨在帮助管理员管理实例,提供统一的界面更新、管理和配置AWS资源。
隐藏优势:攻击者利用合法工具逃避检测
攻击者选择使用SSM代理作为木马的优势在于,它能够绕过端点安全解决方案的检测,并无需部署其他可能被发现的恶意软件。为了混淆视听,攻击者还可以使用自己的恶意AWS账户作为命令和控制中心,以实现远程监控感染的SSM代理。
此外,攻击者还可以使用自己的恶意AWS账户作为命令和控制中心,从而实现对受感染SSM代理的远程监控。这种方式让攻击者可以通过自己的AWS账户来控制感染的SSM代理,进一步增加了攻击的隐蔽性和复杂性。由于AWS账户通常是受信任的,所以攻击者利用自己的AWS账户来控制SSM代理很难被怀疑或被阻止。
攻击手法详解:突破权限、混合运行和滥用功能
在详细介绍的后渗透攻击中,攻击者需要已经获取在安装和运行SSM代理的Linux或Windows端点上执行命令的权限。攻击者将SSM代理注册为在”混合”模式下运行,从而使其可以与EC2实例所在的原始AWS账户之外的其他AWS账户通信。通过这种方式,SSM代理可以从攻击者拥有的AWS账户执行命令,实现远程控制。
另一种攻击方法则是利用Linux命名空间功能,启动第二个SSM代理进程,与攻击者的AWS账户进行通信,同时保持已运行的SSM代理与原始AWS账户通信。
滥用功能:SSM代理流量被控制,无需依赖AWS基础设施
另一项发现显示,攻击者可以滥用SSM代理功能,将SSM流量路由到其控制的服务器,甚至包括非AWS账户的端点,从而在不依赖AWS基础设施的情况下控制SSM代理,增加了攻击的复杂性。
建议:保护云环境的安全
为了防范这类攻击,网络安全专家建议企业从防病毒解决方案的允许列表中删除SSM二进制文件,以检测任何异常活动迹象,并确保EC2实例只响应来自使用系统管理器虚拟私有云(VPC)端点的原始AWS账户的命令。云环境的安全对于保护企业的数据和资产至关重要,需要采取积极的措施来防御各种潜在的威胁。
