Angreifer können AWS SSM-Agenten in Fernzugriffstrojaner verwandeln

Mitiga-Forscher haben eine neue Post-Exploitation-Technik dokumentiert, mit der Angreifer dauerhaften Fernzugriff auf AWS Elastic Compute Cloud (EC2)-Instanzen (virtuelle Server) sowie auf Nicht-EC2-Maschinen (z. B. lokale Unternehmensserver und virtuelle) erhalten können Maschinen und VMs in anderen Cloud-Umgebungen).

Der Erfolg dieser Technik des „Lebens vom Land“ hängt ab von:

„Nachdem die Angreifer den SSM-Agenten kontrolliert haben, können sie böswillige Aktivitäten wie Datendiebstahl, die Verschlüsselung des Dateisystems (als Ransomware), den Missbrauch von Endpunktressourcen für das Kryptowährungs-Mining und den Versuch, sich auf andere Endpunkte innerhalb des Netzwerks auszubreiten, durchführen – alles unter dem Deckmantel.“ der Verwendung einer legitimen Software, des SSM-Agenten“, erklärten die Mitiga-Forscher Ariel Szarf und Or Aspir.

Die Forscher haben zwei verschiedene Szenarien ausprobiert, und der erforderliche Level-Zugang ist für beide hoch. Im ersten Szenario benötigt der Bedrohungsakteur Root-Zugriff auf den Ziel-Linux-Rechner oder Administratorrechte auf dem Ziel-Windows-System, während er im zweiten Szenario mindestens als Benutzer ohne Root-Rechte auf dem Ziel-Linux-Rechner oder als Administrator darauf ausgeführt werden kann das Ziel-Windows-System.

„[Im ersten Szenario] „kapert“ der Angriff den ursprünglichen SSM-Agent-Prozess, indem er den SSM-Agent für die Arbeit im „Hybrid“-Modus mit einem anderen AWS-Konto registriert und ihn dazu zwingt, den Metadatenserver nicht für die Identitätsnutzung auszuwählen. Anschließend kommuniziert der SSM-Agent mit dem AWS-Konto des Angreifers und führt Befehle aus“, erklärten sie.

Im zweiten Szenario führt der Angreifer einen weiteren SSM-Agent-Prozess aus, indem er Linux-Namespaces verwendet oder bestimmte Umgebungsvariablen unter Windows festlegt. „Der Prozess des böswilligen Agenten kommuniziert mit dem AWS-Konto des Angreifers, sodass der ursprüngliche SSM-Agent weiterhin mit dem ursprünglichen AWS-Konto kommunizieren kann.“

Und wenn der Bedrohungsakteur es vorzieht, kein AWS-Konto zur Verwaltung der Agenten zu verwenden, muss er das auch nicht tun: Es gibt eine SSM-Funktion, die missbraucht werden kann, um den SSM-Verkehr an einen vom Angreifer kontrollierten Server (d. h. nicht über die Server von AWS) weiterzuleiten ).

Durch die Umwandlung des SSM-Agenten in einen Fernzugriffstrojaner können Angreifer Endpunkte kompromittieren, ohne von installierten Sicherheitslösungen entdeckt zu werden. Die C&C-Kommunikation erscheint legitim, es besteht keine Notwendigkeit, eine separate Angriffsinfrastruktur zu entwickeln, und der SSM-Agent kann verwendet werden, um den Endpunkt über unterstützte Funktionen zu manipulieren.

Die Tatsache, dass der SSM-Agent auf einigen beliebten Amazon Machine Images vorinstalliert ist und somit bereits auf vielen bestehenden EC2-Instanzen installiert und ausgeführt wird, erweitert den Pool potenzieller Angriffsziele für Angreifer, betonten die Forscher.

Glücklicherweise gibt es Möglichkeiten, den Einsatz dieser Technik zu erkennen. Dazu gehören: Halten Sie Ausschau nach neuen Instanz-IDs, der Verwendung bestimmter Befehle, verlorenen Verbindungen zu SSM-Agenten im AWS-Konto, neuen Prozessen und verdächtigen Aktionen im Zusammenhang mit Sessions Manager in Amazon CloudTrail-Protokollen.

Die Forscher raten Unternehmenssystemadministratoren:

„Wir sind fest davon überzeugt, dass Bedrohungsakteure dies bei Angriffen in der realen Welt missbrauchen werden, wenn sie dies nicht bereits tun. Aus diesem Grund ist es von entscheidender Bedeutung, die mit seinem Missbrauch verbundenen Risiken zu verstehen und zu mindern, um Systeme vor dieser sich entwickelnden Bedrohung zu schützen“, stellten sie fest und wiesen darauf hin, dass das AWS-Sicherheitsteam auch eine Lösung angeboten hat, um den Empfang von Befehlen vom ursprünglichen AWS einzuschränken Konto/Organisation mithilfe des Virtual Private Cloud (VPC)-Endpunkts für Systems Manager.

„Wenn sich Ihre EC2-Instanzen in einem privaten Subnetz ohne Zugriff auf das öffentliche Netzwerk über eine öffentliche EIP-Adresse oder ein NAT-Gateway befinden, können Sie den System Manager-Dienst dennoch über einen VPC-Endpunkt konfigurieren. Dadurch können Sie sicherstellen, dass die EC2-Instanzen nur auf Befehle reagieren, die von Prinzipalen innerhalb ihres ursprünglichen AWS-Kontos oder ihrer ursprünglichen Organisation stammen. Informationen zur effektiven Umsetzung dieser Einschränkung finden Sie in der Dokumentation zur VPC-Endpunktrichtlinie.

UPDATE (5. August 2023, 05:20 Uhr ET):

„AWS-Software und -Systeme verhalten sich wie vorgesehen und es besteht für Kunden kein Handlungsbedarf“, kommentierte ein AWS-Sprecher gegenüber Help Net Security.

„Die in der Mitiga-Veröffentlichung mit dem Titel „Mitiga Security Advisory: Abusing the SSM Agent as a Remote Access Trojan“ beschriebenen Probleme erfordern, dass ein Akteur sowohl Anmeldeinformationen auf Root-Ebene erhält als auch erfolgreich auf eine EC2-Instanz zugreift, um ausgenutzt zu werden. Als bewährte Sicherheitsmethode empfehlen wir AWS-Kunden, unsere Dokumentation zur ordnungsgemäßen Konfiguration von VPC-Endpunkten mit AWS Systems Manager zu befolgen und globale Bedingungsschlüssel für VPC-Endpunkte und VPC-Endpunktrichtlinien zu verwenden, um das Risiko eines unangemessenen Zugriffs auf EC2-Instanzen zu verringern.