Pesquisadores descobriram uma nova técnica de pós-exploração no Amazon Web Services (AWS) que permite a hackers usar o agente do Gerenciador do Sistema (SSM) da plataforma como um Trojan de Acesso Remoto (RAT) indetectável.
O conceito de ataque, concebido por pesquisadores de segurança da Mitiga, afeta tanto máquinas Windows quanto Linux e é preferível ao uso de malware e backdoors comuns, pois seu abuso provavelmente será menos detectado por software de segurança.
"Acreditamos fortemente que os atores de ameaças abusarão disso em ataques do mundo real, se ainda não o fazem", alerta a Mitiga no relatório.
O AWS Systems Manager (SSM) é um binário assinado pela Amazon e um abrangente sistema de gerenciamento de endpoints usado por administradores para configuração, patching e monitoramento de ecossistemas AWS, incluindo instâncias EC2, servidores locais ou máquinas virtuais.
É uma ferramenta muito popular que vem pré-instalada em muitas imagens de template de sistemas operacionais populares (AMI) que podem ser usadas para lançar novas instâncias AWS.
Portanto, os atacantes têm um grande pool de hosts onde a nova superfície de ataque pode ser abusada, com outros levantando preocupações sobre o SSM em 2019 e 2021.
A descoberta da Mitiga é que o agente SSM pode ser configurado para funcionar no modo "híbrido" mesmo dentro dos limites de uma instância EC2, permitindo o acesso a ativos e servidores de contas AWS controladas por atacantes.
Ao configurar o SSM para o modo híbrido, ele permite que uma conta AWS gerencie máquinas não EC2, incluindo servidores locais, dispositivos AWS IoT e máquinas virtuais, incluindo aquelas em outros ambientes de nuvem.
"Em nossa pesquisa, nos concentramos na capacidade de um agente SSM de funcionar não apenas em instâncias do Amazon Elastic Compute Cloud (EC2), mas também em tipos de máquinas não EC2 (Servidores em seus próprios locais e Máquinas virtuais, também conhecidas como VMs, incluindo VMs em outros ambientes de nuvem)", explica o alerta de segurança da Mitiga.
"Abusamos dessa funcionalidade registrando um agente SSM para funcionar no modo 'híbrido' mesmo se o agente funcionar em uma instância EC2."
Além disso, comandos bash permitem ao agente SSM se comunicar e executar comandos usando contas AWS não associadas ao ambiente EC2 comprometido.
A funcionalidade de proxy do SSM também pode ser abusada para passar tráfego de rede fora de qualquer infraestrutura AWS.
"Encontramos uma maneira única de abusar do serviço SSM, permitindo que ele funcione de maneira perfeita como uma infraestrutura de trojan totalmente integrada, fazendo com que o agente no endpoint se comunique com uma conta AWS diferente (que pode ser usada pelo invasor) da conta AWS original," explica a Mitiga.
"Ao executar comandos de uma conta AWS separada e mal-intencionada, as ações realizadas pelo agente SSM permanecerão ocultas dentro da conta AWS original, tornando o processo de detecção da atividade maliciosa complexo."
Se o sequestro de agentes SSM existentes for inatingível devido à falta de permissões, os hackers podem executar outro processo do agente SSM, que funciona paralelamente a qualquer processo existente e dá aos atacantes acesso à função "Executar comando".
No entanto, o ataque é mais fácil de detectar neste caso, pois deixa mais vestígios, e estabelecer persistência se torna mais difícil.
Abusar do agente SSM permite aos invasores violar contas AWS para executar comandos remotamente sem serem detectados, pois o tráfego se assemelha à atividade regular gerada pelos agentes.
Após divulgar o método de pós-exploração à Amazon, a equipe de segurança da AWS disse que é possível restringir a recepção de comandos em instâncias EC2 usando o ponto de extremidade da VPC para o Systems Manager, definindo a conta ou organização AWS original como a única fonte aprovada.
Além disso, a Mitiga sugere remover o agente SSM da lista de permissões do antivírus ou soluções EDR e integrar as técnicas de detecção apresentadas em seu relatório em suas plataformas SIEM e SOAR.
"A popularidade generalizada e a confiança inicial associadas ao agente SSM amplificam ainda mais a necessidade de as organizações agirem imediatamente para mitigar essa nova técnica", conclui o relatório da Mitiga.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...