Istraživači kibernetičke sigurnosti otkrili su novu tehniku nakon eksploatacije u Amazon Web Services (AWS) koja omogućava da se AWS Systems Manager Agent (SSM Agent) pokrene kao trojanac za daljinski pristup na Windows i Linux okruženjima.
“SSM agent, legitimni alat koji koriste administratori za upravljanje svojim instancama, može biti prenamijenjen od strane hakera koji je postigao visoku privilegiju pristupa na krajnjoj tački s instaliranim SSM agentom, kako bi vršio malicizne aktivnosti na kontinuiranoj osnovi”, Mitiga istraživači Ariel Szarf i Or Aspir rekli su u izvještaju podijeljenom za The Hacker News.
“Ovo omogućava hakeru koji je kompromitovao mašinu, koja se nalazi na AWS-u ili bilo gde drugde, da zadrži pristup njemu i izvrši razne maliciozne aktivnosti.”
SSM Agent je softver instaliran na Amazon Elastic Compute Cloud (Amazon EC2) instancama koji omogućava administratorima da ažuriraju, upravljaju i konfigurišu svoje AWS resurse putem objedinjenog interfejsa.
Prednosti korištenja SSM Agenta kao trojanca su višestruke u tome što mu vjeruju rješenja za sigurnost krajnjih tačaka i eliminiše potrebu za postavljanjem dodatnog zmalicioznog softvera koji može pokrenuti otkrivanje. Da bi dodatno zamutio vodu, haker bi mogao koristiti svoj maliciozni AWS nalog kao komandu i kontrolu (C2) za daljinski nadzor kompromitovanog SSM agenta.
Tehnike nakon eksploatacije koje detaljno opisuje Mitiga pretpostavljaju da haker već ima dozvole za izvršavanje komandi na Linux ili Windows krajnjoj tački koja takođe ima instaliran i pokrenut SSM agent.
Konkretno, to podrazumijeva registraciju SSM agenta za rad u “hibridnom” načinu, omogućavajući mu da komunicira s različitim AWS nalozima osim originalnog AWS naloga na kojem se hostuje EC2 instanca. Ovo uzrokuje da SSM agent izvršava komande sa AWS naloga u vlasništvu napadača.
Alternativni pristup koristi funkciju Linux imenskih prostora za pokretanje drugog procesa SSM agenta, koji komunicira sa AWS nalogom hakera, dok već pokrenuti SSM agent nastavlja da komunicira sa originalnim AWS nalogom.
Na kraju, ali ne i najmanje važno, Mitiga je otkrio da se SSM proxy funkcija može zloupotrijebiti za usmjeravanje SSM prometa na server koji kontroliše napadač, uključujući krajnju tačku računa koji nije AWS, čime se dopušta hakeru da kontrolira SSM agenta bez potrebe da se oslanja na AWS infrastruktura.
Organizacijama se preporučuje da uklone SSM binarne datoteke s liste dopuštenja povezanih s antivirusnim rešenjima kako bi otkrile bilo kakve znakove anomalne aktivnosti i osigurale da EC2 instance reaguju na komande koje dolaze samo s originalnog AWS naloga koristeći krajnju tačku Virtual Private Cloud (VPC) za sisteme Menadžer.
„Nakon kontrole SSM agenta, hakeri mogu izvršiti maliciozne aktivnosti, kao što su krađa podataka, šifriranje sistema datoteka (kao ransomware), zloupotreba krajnjih resursa za rudarenje kriptovaluta i pokušaj širenja na druge krajnje tačke unutar mreže – sve pod krinkom korištenja legitimnog softvera, SSM Agenta”, rekli su istraživači.
Izvor: The Hacker News
