Daha fazla şirket kritik sistemlerini ve verilerini Amazon Web Hizmetleri’ne (AWS) taşıdıkça, saldırganlar bulut ortamlarında gizli kalmanın yeni yollarını buluyor.
Awsdoor, AWS’deki kalıcılık tekniklerini basitleştirmek ve otomatikleştirmek için tasarlanmış bir araçtır. Kalıcılık, bir saldırganın ilk ihlal yollarından sonra bile erişimi sürdürmesini sağlar
IAM tabanlı kalıcılık
AWS Kimlik ve Erişim Yönetimi (IAM), kaynaklara ve neler yapabileceklerini kimin erişebileceğini kontrol eder. Saldırganlar, kötü amaçlı yazılım bırakmadan IAM ayarlarını değiştirmek için Awsdoor kullanırlar.
Yaygın bir yöntem, bir kullanıcı hesabına AccessKey eklemektir. Bu anahtarla, bir saldırgan AWS komut satırı arabiriminden meşru bir kullanıcımış gibi bağlanabilir.
Awsdoor bu anahtarları tek bir komutla oluşturabilir ve ekleyebilir. Kullanıcı başına yalnızca iki anahtara izin verilmesine rağmen, saldırganlar mevcut anahtarları listeleyebilir, kullanılmayan olanı devre dışı bırakabilir ve daha sonra şüphe yaratmadan kendilerini ekleyebilir.
Başka bir daha gizli iam tekniği, rol güven politikalarının değiştirilmesini içerir. AWS rolleri, hangi kuruluşların rolü üstlenebileceğini tanımlamak için güven politikalarını kullanır.
Bir saldırgan, kötü niyetli bir AWS hesabı veya güven politikasına rol enjekte ederek, kuruluş dışından yüksek ayrı roller üstlenebilir.
Awsdoor, enjeksiyon ve onay adımlarını otomatikleştirerek güven politikalarının arka kapıya sahip olmayı kolaylaştırır. Bu tür değişiklikler normal idari eylemlerle karışır, bu nedenle savunucular tüm politika güncellemelerini yakından izlemelidir.
IAM’ın ötesinde, Lambda işlevleri ve EC2 örnekleri gibi bulut hizmetleri başka kalıcılık seçenekleri sunar. Awsdoor, Lambda işlevlerini gizli arka kapılarla oluşturabilir veya güncelleyebilir.
Saldırganlar, kötü amaçlı kodları doğrudan ekleyebilir veya ana işlev görünümünde gösterilmeyen ayrı paketler olan Lambda katmanlarına gizleyebilir.
İşlev her çalıştığında, gizli kod yürütülür. Bu, savunucular katman içeriğini manuel olarak denetlemedikçe saldırganın algılamayı önlemesini sağlar.
EC2 örneklerinde AWSDOOR, ters SSH tünellerini yüklemek için AWS Systems Manager’dan yararlanır. Bu, bir SSH tuşunu yüklemek ve saldırgan tünelini istediği gibi ağa geri döndürmesini sağlayan bir proxy oluşturmak için SSM aracısını kullanır.
Tünel bir arka plan hizmeti olarak çalışabilir, bu da tespit edilmesini zorlaştırır. Örnekler üzerinde kalıcılık etkilidir, çünkü harici araçlardan ziyade yerleşik AWS yönetimi özelliklerine dayanır.
Awsdoor’a karşı savunmak, AWS günlüklerinin ve yapılandırmalarının güçlü bir şekilde izlenmesini gerektirir. AWS CloudTrail, IAM Politika Değişiklikleri, Lambda Dağıtımları ve Sistem Yöneticisi oturumları dahil tüm API çağrılarını kaydeder.
Güvenlik ekipleri, olağandışı güven politikası güncellemeleri, yeni aktarımların oluşturulması ve lambda katmanlarının ekleri için uyarılar oluşturmalıdır.
AWS Config, genellikle haydut ayrıcalıkları gösteren joker veya notaklama ifadeleri kullanarak politikaları işaretlemek için kuralları uygulayabilir.
IAM kullanıcılarının, rollerinin ve sunucusuz işlevlerin düzenli denetimleri, kullanılmadan önce yetkisiz değişiklikleri yakalamaya yardımcı olur. AWS lehine uzun vadeli aksaklıkların kullanımının ortadan kaldırılması, saldırı yüzeyini azaltır.
AWS Config, CloudTrail ve Guardduty için izinleri kısıtlamak, saldırganların günlüğe kaydedilmesini veya uyarı hizmetlerini devre dışı bırakmamasını sağlar.
Bulut ortamları ölçek ve karmaşıklıkta büyüdükçe, Awsdoor gibi araçlar, saldırganların açık görüşte saklanmasını kolaylaştırır.
Kuruluşlar, sürekli izleme, en az tasarruf uygulamalarını ve otomatik uyum kontrollerini birleştirerek, büyük ihlallere yol açmadan önce risklerini azaltabilir ve kalıcılık tekniklerini tespit edebilir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.