亚马逊云(AWS)曝新漏洞,SSM 代理已成木马!
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
亚马逊云平台(AWS)发现了一种新的后渗透技术,利用SSM代理在Windows和Linux环境中运行。攻击者可以利用SSM代理进行恶意活动,无需部署其他恶意软件。建议企业删除SSM二进制文件,并确保EC2实例响应仅来自原始AWS账户的命令。
🎯
关键要点
- 亚马逊云平台(AWS)发现了一种新的后渗透技术,利用SSM代理在Windows和Linux环境中运行。
- 攻击者可以利用SSM代理进行恶意活动,无需部署其他恶意软件。
- SSM代理是合法的管理工具,攻击者可在获得高权限后重新利用它进行恶意活动。
- SSM Agent允许管理员通过统一界面管理AWS资源。
- 使用SSM代理作为木马可以避免被端点安全解决方案检测。
- 攻击者可以使用自己的恶意AWS账户作为命令和控制(C2)来监控受感染的SSM代理。
- 攻击者需在安装SSM Agent的端点上获得执行命令的权限,可能需要将SSM Agent注册为混合模式。
- 攻击者可以启动第二个SSM代理进程与其AWS账户通信,同时保持原SSM代理与原始AWS账户通信。
- SSM代理功能可能被滥用,将流量路由到攻击者控制的服务器。
- Mitiga建议企业删除SSM二进制文件,并确保EC2实例响应仅来自原始AWS账户的命令。
➡️
