Investigadores de ciberseguridad han descubierto una nueva técnica posterior a la explotación en Amazon Web Services (AWS) que permite que el Agente de AWS Systems Manager (Agente SSM) se ejecute como un troyano de acceso remoto en entornos Windows y Linux.


"El agente de SSM, una herramienta legítima utilizada por los administradores para administrar sus instancias, puede ser reutilizado por un atacante que haya logrado acceso con privilegios elevados en un punto final con el agente de SSM instalado, para llevar a cabo actividades maliciosas de forma continua", Mitiga dijeron los investigadores Ariel Szarf y Or Aspir en un informe compartido con The Hacker News.


"Esto permite que un atacante que haya comprometido una máquina, alojada en AWS o en cualquier otro lugar, mantenga el acceso a ella y realice diversas actividades maliciosas".


SSM Agent es un software instalado en las instancias de Amazon Elastic Compute Cloud (Amazon EC2) que permite a los administradores actualizar, administrar y configurar sus recursos de AWS a través de una interfaz unificada.


Las ventajas de usar un agente de SSM como troyano son múltiples, ya que las soluciones de seguridad de punto final confían en él y elimina la necesidad de implementar malware adicional que pueda desencadenar la detección. Para enturbiar aún más las aguas, un actor de amenazas podría usar su propia cuenta de AWS maliciosa como comando y control (C2) para supervisar de forma remota al agente de SSM comprometido.


Las técnicas posteriores a la explotación detalladas por Mitiga presuponen que un atacante ya tiene permisos para ejecutar comandos en el punto final de Linux o Windows que también tiene un Agente de SSM instalado y en ejecución.


Específicamente, implica registrar un Agente de SSM para que se ejecute en modo " híbrido ", lo que le permite comunicarse con diferentes cuentas de AWS distintas de la cuenta de AWS original donde se aloja la instancia EC2. Esto hace que el Agente de SSM ejecute comandos desde una cuenta de AWS propiedad del atacante.


Un enfoque alternativo utiliza la función de espacios de nombres de Linux para iniciar un segundo proceso de agente de SSM, que se comunica con la cuenta de AWS del atacante, mientras que el agente de SSM que ya se está ejecutando continúa comunicándose con la cuenta de AWS original.


Por último, pero no menos importante, Mitiga descubrió que se puede abusar de la función de proxy de SSM para enrutar el tráfico de SSM a un servidor controlado por un atacante, incluido un punto final de cuenta que no sea de AWS, lo que permite que el actor de amenazas controle el Agente de SSM sin tener que depender de Infraestructura AWS.


Se recomienda a las organizaciones que eliminen los archivos binarios de SSM de la lista de permitidos asociados con las soluciones antivirus para detectar cualquier signo de actividad anómala y asegurarse de que las instancias EC2 respondan a los comandos que solo provienen de la cuenta de AWS original mediante el punto de enlace de la nube privada virtual (VPC) para sistemas.


"Después de controlar el agente de SSM, los atacantes pueden llevar a cabo actividades maliciosas, como el robo de datos, el cifrado del sistema de archivos (como un ransomware), el uso indebido de los recursos del punto final para la minería de criptomonedas y el intento de propagarse a otros puntos finales dentro de la red, todo bajo la apariencia de de usar un software legítimo, el SSM Agent", dijeron los investigadores.


Fuente: thehackernews.com