Новости Внутренняя угроза: киберпреступники нашли новый путь к сердцу облачных сервисов Amazon

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
SSM-агент AWS ловким движением курсора превращается в троян удалённого доступа.


l39utzdmnf5em27m4i896vyzs05yg3m0.jpg


Исследователи кибербезопасности обнаружили новый метод постэксплуатации в облачных сервисах Amazon Web Services ( AWS ), который позволяет использовать AWS Systems Manager Agent ( SSM -агент) в качестве троянской программы удалённого доступа на системах Windows и Linux .

«SSM-агент, легитимный инструмент, используемый администраторами для управления их экземплярами приложения, может быть перепрофилирован злоумышленником, получившим высокие привилегии доступа на конечной точке с установленным SSM-агентом, для осуществления вредоносной деятельности на постоянной основе», — Для просмотра ссылки Войди или Зарегистрируйся исследователей компании Mitiga .

«Этот метод позволяет атакующему, скомпрометировавшему устройство, размещённое на AWS или где-либо ещё, поддерживать доступ к ней и выполнять различные вредоносные действия», — добавили специалисты.

SSM-агент — это программное обеспечение, установленное на экземплярах Amazon Elastic Compute Cloud (Amazon EC2 ), которое позволяет администраторам обновлять, управлять и настраивать свои ресурсы AWS через единый интерфейс.

Преимущества использования SSM-агента в качестве трояна многочисленны, поскольку он доверен решениями безопасности конечных точек и исключает необходимость развёртывания дополнительных вредоносных программ, которые могут спровоцировать обнаружение. Чтобы ещё больше запутать следы, злоумышленник может использовать собственную вредоносную учётную запись AWS в качестве C2-сервера для удалённого контроля скомпрометированного SSM-агента.

Описанные Mitiga методы постэксплуатации предполагают, что атакующий уже обладает разрешениями на выполнение команд в среде Linux или Windows, где также установлен и запущен SSM-агент.

Исследователи также обнаружили, что функцией прокси-сервера SSM можно злоупотребить для маршрутизации трафика SSM на сервер, контролируемый злоумышленником, включая конечную точку, не относящуюся к AWS, тем самым позволяя атакующему контролировать SSM-агент без необходимости полагаться на инфраструктуру AWS.

Организациям рекомендуется удалить бинарные файлы SSM из списка разрешений, связанного с антивирусными решениями, чтобы обнаруживать любые признаки аномальной активности, а также убедиться, что экземпляры EC2 отвечают только на команды, поступающие от исходной учётной записи AWS, используя конечную точку Virtual Private Cloud ( VPC ) для Systems Manager.

«Получив контроль над SSM-агентом, злоумышленники могут осуществлять вредоносную деятельность, такую как кража данных, шифрование файловой системы, неправомерное использование ресурсов конечных точек для майнинга криптовалют и попытки распространиться на другие конечные точки в сети, маскируясь под использование легитимного программного обеспечения», — предупреждают исследователи.
 
Источник новости
www.securitylab.ru

Похожие темы