攻击者使用AWS SSM Agent作为远程访问木马

已经观察到威胁参与者使用亚马逊网络服务(AWS)。作为远程访问木马(RAT)在Linux和Windows机器上。

根据Mitiga昨天发布的一份新的安全报告,这种后利用技术允许攻击者使用一个单独的、恶意拥有的AWS账户来控制代理,这可能使他们能够进行各种恶意活动。

AWS Systems Manager是一款功能强大的工具,用于自动化操作任务和管理AWS资源。SSM代理是促进系统管理器服务与EC2(弹性计算云)实例或本地服务器之间通信的组件。

在报告中,Mitiga研究人员Ariel Szarf和Or Aspir表示,SSM代理的普及和信任导致攻击者为了自己的利益而滥用它。

由于Amazon对SSM代理二进制文件进行了签名,因此它通常会绕过传统的防病毒和端点检测系统,从而使检测恶意活动变得更加困难。

此外,攻击者可以从他们的AWS账户控制代理,使通信看起来合法,进一步逃避检测。

米蒂加的研究展示了两种潜在的攻击场景。第一个场景涉及劫持原始SSM代理进程并将其注册到不同的AWS帐户。然后,攻击者获得了对被攻破端点的完全控制,代理作为合法的SSM代理发挥作用。

第二种场景涉及运行单独的SSM代理进程,允许攻击者在原始代理继续正常工作的情况下操纵端点。

Mitiga与AWS安全团队分享了它的研究和发现。他们还提出了减轻这种威胁的建议,包括重新考虑将SSM代理列入AV或EDR解决方案的允许列表,并实施检测技术来主动识别这种威胁的实例。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值