通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

亚马逊云被曝新漏洞,能执行远程木马

网络安全研究人员在亚马逊云平台(AWS)中发现了一种新的后渗透技术,能允许 AWS 系统管理器代理(SSM 代理)作为远程访问木马在 Windows 和 Linux 环境中运行。

Mitiga的研究人员Ariel Szarf和Or Aspir在与The Hacker News分享的一份报告中说:“SSM代理是管理员用来管理实例的合法工具,攻击者如果在安装SSM代理的端点上获得了高权限访问,就可以重新利用它来持续开展恶意活动。”

SSM Agent是一个安装在Amazon EC2实例上的软件,使管理员可以通过统一界面更新、管理和配置其 AWS 资源。

使用 SSM 代理作为木马具有诸多优点,能受到端点安全解决方案的信任,并且无需部署可能触发检测的其他恶意软件。为了进一步混淆视听,攻击者可以使用自己的恶意 AWS 帐户作为命令和控制 (C2) 来远程监控受感染的 SSM 代理。

Mitiga 详细介绍的后渗透技术假定攻击者已经拥有在安装并运行了 SSM Agent 的 Linux 或 Windows 端点上执行命令的权限,这需要将 SSM Agent 注册为在 “混合 “模式下运行,允许与 EC2 实例所在的原始 AWS 账户之外的不同 AWS 账户通信。这会导致 SSM 代理从攻击者拥有的 AWS 账户执行命令。

另一种方法是使用Linux 命名空间功能启动第二个 SSM 代理进程,该进程与攻击者的 AWS 账户进行通信,而已在运行的 SSM 代理则继续与原始 AWS 账户进行通信。

最后。Mitiga 发现 SSM 代理功能可能被滥用,将 SSM 流量路由到攻击者控制的服务器(包括非 AWS 账户端点),从而允许攻击者控制 SSM 代理而无需依赖AWS 基础设施。

Mitiga建议企业从防病毒解决方案相关的允许列表中删除 SSM 二进制文件,以检测任何异常活动迹象,并确保 EC2 实例响应仅来自使用系统管理器虚拟私有云 (VPC) 端点的原始 AWS 账户的命令。

参考来源:Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan

文章来自:https://www.freebuf.com/

相关文章