Técnica 1: Creación de Snapshot de EBS

Investigacion y creditos a https://unit42.paloaltonetworks.com/

¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el CPNA - Curso Profesional de Pentesting Contra AWS. No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.

Para equipos de Red Team operando en entornos AWS, la técnica de manipulación de snapshots de Elastic Block Store (EBS) representa una táctica avanzada para simular escenarios de movimiento lateral y exfiltración de datos. Esta técnica explota configuraciones de permisos excesivos y puede proporcionar acceso no autorizado a datos críticos.

El procedimiento comienza con la identificación de volúmenes EBS asociados a instancias EC2 de interés. La utilización de la API CreateSnapshot es el primer paso para capturar el estado actual del disco, preservando los datos que podrían estar sujetos a cambios o eliminación.

Una vez creado el snapshot, el Red Team puede proceder a crear un nuevo volumen EBS a partir de dicho snapshot. Este paso se lleva a cabo a través de la API CreateVolume, que generará un clon del volumen original basado en el snapshot capturado.

El siguiente paso es adjuntar el volumen recién creado a una instancia EC2 controlada por el Red Team. El comando AttachVolume vincula el volumen a la instancia deseada, permitiendo que el equipo acceda a los datos como si estuviera montando un disco duro externo.

Durante la operación, el Red Team debe asignar un identificador al dispositivo, como /dev/sdx, para interactuar con el sistema de archivos del volumen. Esta técnica, ejecutada cuidadosamente, no deja rastro en la instancia objetivo y permite el acceso a los datos sin alertar al sistema de monitoreo sobre el acceso anómalo.

Comandos:

Creación del Snapshot:
```
aws ec2 create-snapshot --volume-id VOLUME_ID
```
Donde VOLUME_ID es el identificador del volumen EBS a ser respaldado. Este comando es crítico para capturar el estado del disco que se desea examinar.
Generación del nuevo volumen EBS:
```
aws ec2 create-volume --snapshot-id SNAPSHOT_ID
```
En este paso, SNAPSHOT_ID es reemplazado por el identificador del snapshot creado. El volumen resultante es una réplica exacta del estado del volumen en el momento del snapshot.
Montaje del volumen en la instancia EC2:
```
aws ec2 attach-volume --volume-id VOLUME_ID --instance-id INSTANCE_ID --device /dev/sdx
```
Este comando prepara el nuevo volumen para ser montado en la instancia bajo el control del Red Team. INSTANCE_ID corresponde al ID de la instancia EC2 controlada por el equipo.

AnteriorFundamentos del movimiento lateral en Cloud SiguienteTécnica 2: EC2 Instance Connect

Última actualización hace 5 meses