已经观察到威胁参与者使用亚马逊网络服务(AWS)。作为远程访问木马(RAT)在Linux和Windows机器上。
根据Mitiga昨天发布的一份新的安全报告,这种后利用技术允许攻击者使用一个单独的、恶意拥有的AWS账户来控制代理,这可能使他们能够进行各种恶意活动。
AWS Systems Manager是一款功能强大的工具,用于自动化操作任务和管理AWS资源。SSM代理是促进系统管理器服务与EC2(弹性计算云)实例或本地服务器之间通信的组件。
在报告中,Mitiga研究人员Ariel Szarf和Or Aspir表示,SSM代理的普及和信任导致攻击者为了自己的利益而滥用它。
由于Amazon对SSM代理二进制文件进行了签名,因此它通常会绕过传统的防病毒和端点检测系统,从而使检测恶意活动变得更加困难。
此外,攻击者可以从他们的AWS账户控制代理,使通信看起来合法,进一步逃避检测。
米蒂加的研究展示了两种潜在的攻击场景。第一个场景涉及劫持原始SSM代理进程并将其注册到不同的AWS帐户。然后,攻击者获得了对被攻破端点的完全控制,代理作为合法的SSM代理发挥作用。
第二种场景涉及运行单独的SSM代理进程,允许攻击者在原始代理继续正常工作的情况下操纵端点。
Mitiga与AWS安全团队分享了它的研究和发现。他们还提出了减轻这种威胁的建议,包括重新考虑将SSM代理列入AV或EDR解决方案的允许列表,并实施检测技术来主动识别这种威胁的实例。