Исследователи кибербезопасности обнаружили новый метод постэксплуатации в облачных сервисах Amazon Web Services (AWS), который позволяет использовать AWS Systems Manager Agent (SSM-агент) в качестве троянской программы удалённого доступа на системах Windows и Linux.
“SSM-агент, легитимный инструмент, используемый администраторами для управления их экземплярами приложения, может быть перепрофилирован злоумышленником, получившим высокие привилегии доступа на конечной точке с установленным SSM-агентом, для осуществления вредоносной деятельности на постоянной основе”, – говорится в отчёте исследователей компании Mitiga.
“Этот метод позволяет атакующему, скомпрометировавшему устройство, размещённое на AWS или где-либо ещё, поддерживать доступ к ней и выполнять различные вредоносные действия”, – добавили специалисты.
SSM-агент – это программное обеспечение, установленное на экземплярах Amazon Elastic Compute Cloud (Amazon EC2), которое позволяет администраторам обновлять, управлять и настраивать свои ресурсы AWS через единый интерфейс.
Преимущества использования SSM-агента в качестве трояна многочисленны, поскольку он доверен решениями безопасности конечных точек и исключает необходимость развёртывания дополнительных вредоносных программ, которые могут спровоцировать обнаружение. Чтобы ещё больше запутать следы, злоумышленник может использовать собственную вредоносную учётную запись AWS в качестве C2-сервера для удалённого контроля скомпрометированного SSM-агента.
Описанные Mitiga методы постэксплуатации предполагают, что атакующий уже обладает разрешениями на выполнение команд в среде Linux или Windows, где также установлен и запущен SSM-агент.
Исследователи также обнаружили, что функцией прокси-сервера SSM можно злоупотребить для маршрутизации трафика SSM на сервер, контролируемый злоумышленником, включая конечную точку, не относящуюся к AWS, тем самым позволяя атакующему контролировать SSM-агент без необходимости полагаться на инфраструктуру AWS.
Организациям рекомендуется удалить бинарные файлы SSM из списка разрешений, связанного с антивирусными решениями, чтобы обнаруживать любые признаки аномальной активности, а также убедиться, что экземпляры EC2 отвечают только на команды, поступающие от исходной учётной записи AWS, используя конечную точку Virtual Private Cloud (VPC) для Systems Manager.
“Получив контроль над SSM-агентом, злоумышленники могут осуществлять вредоносную деятельность, такую как кража данных, шифрование файловой системы, неправомерное использование ресурсов конечных точек для майнинга криптовалют и попытки распространиться на другие конечные точки в сети, маскируясь под использование легитимного программного обеспечения”, – предупреждают исследователи.