我们擅长商业策略与用户体验的完美结合。
欢迎浏览我们的案例。
网络安全研究人员在亚马逊云平台(AWS)中发现了一种新的后渗透漏洞,能允许 AWS 系统管理器代理(SSM 代理)作为远程访问木马在 Windows 和 Linux 环境中运行。
Mitiga 的研究人员 Ariel Szarf 和 Or Aspir 在与 The Hacker News 分享的一份报告中说:“SSM 代理是管理员用来管理实例的合法工具,攻击者如果在安装 SSM 代理的端点上获得了高权限访问,就可以重新利用它来持续开展恶意活动。”
SSM Agent 是一个安装在 Amazon EC2 实例上的软件,使管理员可以通过统一界面更新、管理和配置其 AWS 资源。
使用 SSM 代理作为木马具有诸多优点,能受到端点安全解决方案的信任,并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听,攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。
Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限,这需要将 SSM Agent 注册为在 "混合 "模式下运行,允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。
另一种方法是使用 Linux 命名空间功能启动第二个 SSM 代理进程,该进程与攻击者的 AWS 账户进行通信,而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。
最后。Mitiga 发现 SSM 代理功能可能被滥用,将 SSM 流量路由到攻击者控制的服务器(包括非 AWS 账户端点),从而允许攻击者控制 SSM 代理而无需依赖 AWS 基础设施。
Mitiga 建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件,以检测任何异常活动迹象,并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。
(邯郸小程序)
