Modern technology gives us many things.

Ο πράκτορας AWS SSM της Amazon μπορεί να χρησιμοποιηθεί ως κακόβουλο λογισμικό RAT μετά την εκμετάλλευση

Ερευνητές ανακάλυψαν μια νέα τεχνική μετά την εκμετάλλευση στις Υπηρεσίες Ιστού του Amazon (AWS) που επιτρέπει στους χάκερ να χρησιμοποιούν τον πράκτορα System Manager (SSM) της πλατφόρμας ως μη ανιχνεύσιμο Trojan Remote Access (RAT).

Η ιδέα της επίθεσης, που επινοήθηκε από ερευνητές ασφαλείας στο Mitiga, επηρεάζει μηχανήματα Windows και Linux και είναι προτιμότερη από τη χρήση κοινού κακόβουλου λογισμικού και backdoors, καθώς η κατάχρησή του είναι λιγότερο πιθανό να εντοπιστεί από το λογισμικό ασφαλείας.

«Πιστεύουμε ακράδαντα ότι οι παράγοντες της απειλής θα το καταχραστούν σε πραγματικές επιθέσεις εάν δεν το κάνουν ήδη», προειδοποιεί ο Μιτίγκα στην έκθεση.

Κατάχρηση του πράκτορα AWS SSM ως RAT

Το AWS Systems Manager (SSM) είναι ένα υπογεγραμμένο από την Amazon δυαδικό και ολοκληρωμένο σύστημα διαχείρισης τελικών σημείων που χρησιμοποιείται από τους διαχειριστές για τη διαμόρφωση, την ενημέρωση κώδικα και την παρακολούθηση οικοσυστημάτων AWS που περιλαμβάνουν παρουσίες EC2, διακομιστές εσωτερικής εγκατάστασης ή εικονικές μηχανές.

Είναι ένα πολύ δημοφιλές εργαλείο που έρχεται προεγκατεστημένο σε πολλές δημοφιλείς εικόνες προτύπων λειτουργικού συστήματος (AMI) που μπορούν να χρησιμοποιηθούν για την εκκίνηση νέων παρουσιών AWS. Ως εκ τούτου, οι εισβολείς έχουν μια μεγάλη ομάδα κεντρικών υπολογιστών όπου μπορεί να γίνει κατάχρηση της νέας επιφάνειας επίθεσης, ενώ άλλοι προηγουμένως είχαν εκφράσει ανησυχίες για το SSM 2019 και 2021.

Η ανακάλυψη του Mitiga είναι ότι ο πράκτορας SSM μπορεί να ρυθμιστεί ώστε να εκτελείται σε “υβρίδιο” λειτουργία ακόμη και εντός των ορίων μιας παρουσίας EC2, επιτρέποντας πρόσβαση σε στοιχεία και διακομιστές από λογαριασμούς AWS που ελέγχονται από τους εισβολείς.

Κατά τη διαμόρφωση του SSM ώστε να είναι σε υβριδική λειτουργία, επιτρέπει σε έναν λογαριασμό AWS να διαχειρίζεται μηχανήματα που δεν ανήκουν στο EC2, συμπεριλαμβανομένων διακομιστών εσωτερικής εγκατάστασης, συσκευών IoT AWS και εικονικών μηχανών, συμπεριλαμβανομένων εκείνων σε άλλα περιβάλλοντα cloud.

«Στην έρευνά μας, επικεντρωθήκαμε στην ικανότητα ενός πράκτορα SSM να εκτελείται όχι μόνο σε παρουσίες Amazon Elastic Compute Cloud (EC2), αλλά και σε τύπους μηχανών που δεν είναι EC2 (διακομιστές στις εγκαταστάσεις σας και εικονικές μηχανές γνωστές και ως VMs, συμπεριλαμβανομένων των VM σε άλλα περιβάλλοντα cloud)», εξηγεί η συμβουλή ασφαλείας της Mitiga.

“Κάναμε κατάχρηση αυτής της δυνατότητας καταχωρώντας έναν πράκτορα SSM ώστε να εκτελείται σε “υβριδική” λειτουργία ακόμα κι αν ο πράκτορας εκτελείται σε μια παρουσία EC2.”

Επιπλέον, οι εντολές bash επιτρέπουν στον παράγοντα SSM να επικοινωνεί και να εκτελεί εντολές χρησιμοποιώντας λογαριασμούς AWS που δεν σχετίζονται με το παραβιασμένο περιβάλλον EC2. Η δυνατότητα διακομιστή μεσολάβησης του SSM μπορεί επίσης να γίνει κατάχρηση για τη διέλευση κίνησης δικτύου εκτός οποιασδήποτε υποδομής AWS.

“Βρήκαμε έναν μοναδικό τρόπο κατάχρησης της υπηρεσίας SSM, επιτρέποντάς της να λειτουργεί απρόσκοπτα ως πλήρως ενσωματωμένη υποδομή trojan, κάνοντας τον πράκτορα στο τελικό σημείο να επικοινωνεί με διαφορετικό λογαριασμό AWS (που μπορεί να χρησιμοποιηθεί από τον εισβολέα) από τον αρχικό λογαριασμό AWS », εξηγεί ο Μιτίγκα

“Εκτελώντας εντολές από έναν ξεχωριστό, κακόβουλο λογαριασμό AWS, οι ενέργειες που εκτελούνται από τον πράκτορα SSM θα παραμείνουν κρυφές στον αρχικό λογαριασμό AWS, καθιστώντας τη διαδικασία εντοπισμού της κακόβουλης δραστηριότητας δυσκίνητη.”

Διάγραμμα λογικής επίθεσης SSM
Διάγραμμα λογικής επίθεσης SSM (Μιτίγκα)

Εάν η παραβίαση υπαρχόντων πρακτόρων SSM δεν είναι εφικτή λόγω έλλειψης αδειών, οι χάκερ μπορούν να εκτελέσουν μια άλλη διεργασία πράκτορα SSM, η οποία λειτουργεί παράλληλα με οποιεσδήποτε υπάρχουσες διεργασίες και δίνει στους εισβολείς πρόσβαση στη δυνατότητα “Εκτέλεση εντολής”.

Ωστόσο, η επίθεση είναι ευκολότερο να ανιχνευθεί σε αυτήν την περίπτωση, καθώς αφήνει περισσότερα ίχνη και η διαπίστωση της επιμονής γίνεται πιο δύσκολη.

Η κατάχρηση του πράκτορα SSM επιτρέπει στους εισβολείς να παραβιάζουν τους λογαριασμούς AWS για να εκτελούν εντολές εξ αποστάσεως χωρίς να εντοπίζονται, καθώς η κίνηση μοιάζει με κανονική δραστηριότητα που δημιουργείται από τους πράκτορες.

Αμυνόμενος από αυτή την επίθεση

Μετά την αποκάλυψη της μεθόδου μετά την εκμετάλλευση στην Amazon, η ομάδα ασφαλείας AWS είπε ότι είναι δυνατό να περιοριστεί η λήψη εντολών σε περιπτώσεις EC2 χρησιμοποιώντας το τελικό σημείο VPC για το Systems Manager, ορίζοντας τον αρχικό λογαριασμό ή οργανισμό AWS ως τη μόνη εγκεκριμένη πηγή.

Επιπλέον, η Mitiga προτείνει την αφαίρεση του παράγοντα SSM από τη λίστα επιτρεπόμενων λύσεων προστασίας από ιούς ή EDR και την ενσωμάτωση των τεχνικών ανίχνευσης που παρουσιάζονται στην έκθεσή της στις πλατφόρμες SIEM και SOAR.

«Η ευρεία δημοτικότητα και η αρχική εμπιστοσύνη που συνδέονται με τον πράκτορα SSM ενισχύουν περαιτέρω την ανάγκη των οργανισμών να αναλάβουν άμεση δράση για τον μετριασμό αυτής της νέας τεχνικής», καταλήγει η έκθεση της Mitiga.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση