Agentes SSM legítimos podem se tornar maliciosos quando invasores com acesso de alto privilégio os utilizam para realizar atividades maliciosas contínuas em um endpoint.
Uma vez comprometidos, os agentes da ameaça mantêm acesso ao sistema comprometido, permitindo atividades ilícitas contínuas na AWS ou em outros hosts.
Pesquisadores de segurança cibernética da Mitiga descobriram recentemente uma nova técnica pós-exploração da AWS.
Com a ajuda desta nova técnica, os agentes de ameaças executam agentes SSM como RAT em sistemas baseados em Windows e Linux. Embora isso lhes permita controlar os endpoints por meio de uma conta AWS separada.
Abuso do agente AWS SSM
Amazon-signed SSM é um sistema de gerenciamento completo para administradores que lhes dá a capacidade de gerenciar o seguinte: –
O AWS Systems Manager Agent (SSM) é amplamente utilizado e vem pré-instalado em muitas AMIs, o que o torna uma superfície de ataque potencial para hackers em um grande conjunto de instâncias da AWS.
Mitiga encontra O agente SSM pode ser executado em modo “híbrido” dentro dos limites do EC2, e isso permite acesso a dois elementos principais por meio de contas AWS controladas pelo invasor:-
O modo híbrido SSM configura uma conta AWS para gerenciar diversas máquinas como:-
- Não-EC2
- Servidores locais
- Dispositivos AWS IoT
- VMs em outros ambientes de nuvem
Os comandos Bash permitem que os agentes do SSM sejam executados em contas AWS não associadas, e o recurso de proxy do SSM permite que o tráfego passe para fora da infraestrutura da AWS.
Além disso, a cadeia completa de exploração depende de dois cenários, e aqui abaixo os mencionamos: –
- Cenário 1: Sequestrando o agente SSM
- Cenário 2: Executando outro processo do agente SSM
Habilidades desbloqueadas usando o Agente SSM como RAT
Aqui abaixo, mencionamos todas as habilidades: –
- O agente SSM é assinado por Amazonpor isso é inicialmente confiável para soluções antivírus e de detecção e resposta de endpoints.
- Os invasores não precisam fazer upload de novos binários RAT, pois o agente SSM já está instalado no endpoint, evitando a detecção de produtos AV e EDR.
- Os atores da ameaça podem usar sua conta AWS maliciosa como um servidor C&C que lhes permite controlar o agente SSM comprometido que faz com que sua comunicação pareça legítima.
- Os invasores não precisam de código adicional para a infraestrutura de ataque, pois dependem exclusivamente do serviço e do agente SSM.
- O agente SSM oferece suporte a recursos como “RunCommand” e “StartSession”, proporcionando aos invasores controle fácil sobre o endpoint comprometido de sua conta AWS, permitindo que eles o manipulem de várias maneiras.
- A instalação generalizada do agente SSM em AMIs padrão na AWS aumenta a superfície de ataque potencial, fornecendo mais alvos para os agentes de ameaças.
Recomendações
Aqui abaixo mencionamos todas as recomendações: –
- Reconsidere adicionar o agente SSM à lista de permissões de AV ou EDR por motivos de segurança.
- Para detectar e responder a esta ação maliciosa de forma eficaz, certifique-se de integrar as técnicas de detecção em suas plataformas SIEM e SOAR.
- A equipe de segurança da AWS sugere o uso do VPC endpoint para o Systems Manager para restringir o recebimento de comandos da conta/organização original da AWS.
- Certifique-se de configurar o serviço System Manager por meio de um VPC endpoint.
