云端幽灵:将AWS X-Ray武器化为C2隐蔽通道
💡
原文中文,约5700字,阅读约需14分钟。
📝
内容提要
攻击者利用AWS X-Ray构建隐蔽的双向C2通道,通过合法的云追踪服务进行命令控制,避免传统C2架构的检测。该技术通过存储和读取注释数据实现信标植入、命令投递和结果回传,形成隐蔽通信。
🎯
关键要点
- 攻击者利用AWS X-Ray构建隐蔽的双向C2通道,避免传统C2架构的检测。
- AWS X-Ray本用于帮助开发者理解应用性能,但其注释功能可被滥用。
- 通信流程包括信标植入、命令投递和结果回传三个阶段。
- 信标植入阶段通过PUT请求存储信标数据,受害系统定期轮询获取新信标。
- 命令投递阶段通过PUT请求发送编码命令,受害系统在轮询中获取并执行命令。
- 结果回传阶段通过PUT请求发送命令执行结果,控制端通过轮询获取结果。
- 植入体需手动实现AWS SigV4认证,确保API请求合法。
- 提供了AWS配置指南和工具使用说明,便于构建和启动植入体。
- 实战演示展示了如何通过控制器与植入体进行交互。
❓
延伸问答
攻击者如何利用AWS X-Ray构建隐蔽的C2通道?
攻击者通过AWS X-Ray的注释功能存储和读取数据,建立信标、命令和结果回传的双向通信通道,避免传统C2架构的检测。
AWS X-Ray的注释功能是如何被滥用的?
AWS X-Ray的注释功能允许存储任意键值数据,攻击者利用这一点进行信标植入和命令投递。
隐蔽C2通道的通信流程包括哪些阶段?
通信流程包括信标植入、命令投递和结果回传三个阶段。
如何在AWS中配置以支持X-Ray C2通道?
需要创建名为XRay的用户,附加AWSXRayDaemonWriteAccess权限,并提交自定义策略以允许相关操作。
植入体如何实现AWS SigV4认证?
植入体需手动实现AWS SigV4认证,确保所有API请求合法,使用访问密钥和密钥通过HMAC-SHA256签名。
XRayC2工具的使用步骤是什么?
下载XRayC2,构建独立植入体,输入AWS凭证后启动控制器,使用命令与植入体交互。
➡️
