已經(jīng)觀察到威脅參與者使用亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)。作為遠(yuǎn)程訪問木馬(RAT)在Linux和Windows機(jī)器上。

根據(jù)Mitiga昨天發(fā)布的一份新的安全報(bào)告，這種后利用技術(shù)允許攻擊者使用一個(gè)單獨(dú)的、惡意擁有的AWS賬戶來控制代理，這可能使他們能夠進(jìn)行各種惡意活動。

AWS Systems Manager是一款功能強(qiáng)大的工具，用于自動化操作任務(wù)和管理AWS資源。SSM代理是促進(jìn)系統(tǒng)管理器服務(wù)與EC2(彈性計(jì)算云)實(shí)例或本地服務(wù)器之間通信的組件。

在報(bào)告中，Mitiga研究人員Ariel Szarf和Or Aspir表示，SSM代理的普及和信任導(dǎo)致攻擊者為了自己的利益而濫用它。

由于Amazon對SSM代理二進(jìn)制文件進(jìn)行了簽名，因此它通常會繞過傳統(tǒng)的防病毒和端點(diǎn)檢測系統(tǒng)，從而使檢測惡意活動變得更加困難。

此外，攻擊者可以從他們的AWS賬戶控制代理，使通信看起來合法，進(jìn)一步逃避檢測。

米蒂加的研究展示了兩種潛在的攻擊場景。第一個(gè)場景涉及劫持原始SSM代理進(jìn)程并將其注冊到不同的AWS帳戶。然后，攻擊者獲得了對被攻破端點(diǎn)的完全控制，代理作為合法的SSM代理發(fā)揮作用。

第二種場景涉及運(yùn)行單獨(dú)的SSM代理進(jìn)程，允許攻擊者在原始代理繼續(xù)正常工作的情況下操縱端點(diǎn)。

Mitiga與AWS安全團(tuán)隊(duì)分享了它的研究和發(fā)現(xiàn)。他們還提出了減輕這種威脅的建議，包括重新考慮將SSM代理列入AV或EDR解決方案的允許列表，并實(shí)施檢測技術(shù)來主動識別這種威脅的實(shí)例。