# Técnica 1: Creación de Snapshot de EBS

{% hint style="danger" %}
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el [CPNA - Curso Profesional de Pentesting Contra AWS](https://spartan-cybersec.com/cursos/pentesting-contra-la-nube-de-aws/). No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
{% endhint %}

Para equipos de Red Team operando en entornos AWS, la técnica de manipulación de snapshots de Elastic Block Store (EBS) representa una táctica avanzada para simular escenarios de movimiento lateral y exfiltración de datos. Esta técnica explota configuraciones de permisos excesivos y puede proporcionar acceso no autorizado a datos críticos.

El procedimiento comienza con la identificación de volúmenes EBS asociados a instancias EC2 de interés. La utilización de la API `CreateSnapshot` es el primer paso para capturar el estado actual del disco, preservando los datos que podrían estar sujetos a cambios o eliminación.

Una vez creado el snapshot, el Red Team puede proceder a crear un nuevo volumen EBS a partir de dicho snapshot. Este paso se lleva a cabo a través de la API `CreateVolume`, que generará un clon del volumen original basado en el snapshot capturado.

El siguiente paso es adjuntar el volumen recién creado a una instancia EC2 controlada por el Red Team. El comando `AttachVolume` vincula el volumen a la instancia deseada, permitiendo que el equipo acceda a los datos como si estuviera montando un disco duro externo.

Durante la operación, el Red Team debe asignar un identificador al dispositivo, como `/dev/sdx`, para interactuar con el sistema de archivos del volumen. Esta técnica, ejecutada cuidadosamente, no deja rastro en la instancia objetivo y permite el acceso a los datos sin alertar al sistema de monitoreo sobre el acceso anómalo.

## **Comandos:**

1. <mark style="color:orange;">**Creación del Snapshot:**</mark>

   ```shell
   aws ec2 create-snapshot --volume-id VOLUME_ID
   ```

   Donde `VOLUME_ID` es el identificador del volumen EBS a ser respaldado. Este comando es crítico para capturar el estado del disco que se desea examinar.
2. <mark style="color:orange;">**Generación del nuevo volumen EBS:**</mark>

   ```shell
   aws ec2 create-volume --snapshot-id SNAPSHOT_ID
   ```

   En este paso, `SNAPSHOT_ID` es reemplazado por el identificador del snapshot creado. El volumen resultante es una réplica exacta del estado del volumen en el momento del snapshot.
3. <mark style="color:orange;">**Montaje del volumen en la instancia EC2:**</mark>

   ```shell
   aws ec2 attach-volume --volume-id VOLUME_ID --instance-id INSTANCE_ID --device /dev/sdx
   ```

   Este comando prepara el nuevo volumen para ser montado en la instancia bajo el control del Red Team. `INSTANCE_ID` corresponde al ID de la instancia EC2 controlada por el equipo.