网络安全研究人员在亚马逊云平台(AWS)中发现了一种新的后渗透漏洞,能允许 AWS 系统管理器代理(SSM 代理)作为远程访问木马在 Windows 和 Linux 环境中运行。
Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说:“SSM代理是管理员用来管理实例的合法工具,攻击者如果在安装SSM代理的端点上获得了高权限访问,就可以重新利用它来持续开展恶意活动。”
SSM Agent是一个安装在Amazon EC2实例上的软件,使管理员可以通过统一界面更新、管理和配置其 AWS 资源。
使用 SSM 代理作为木马具有诸多优点,能受到端点安全解决方案的信任,并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听,攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。
Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限,这需要将 SSM Agent 注册为在 "混合 "模式下运行,允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。
另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程,该进程与攻击者的 AWS 账户进行通信,而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。
最后。Mitiga 发现 SSM 代理功能可能被滥用,将 SSM 流量路由到攻击者控制的服务器(包括非 AWS 账户端点),从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。
Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件,以检测任何异常活动迹象,并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。