Des chercheurs ont découvert une nouvelle technique de post-exploitation dans Amazon Web Services (AWS) qui permet aux pirates d’utiliser l’agent System Manager (SSM) de la plateforme comme un cheval de Troie d’accès à distance (RAT) indétectable.
Le concept d’attaque, conçu par les chercheurs en sécurité de Mitiga, affecte à la fois les machines Windows et Linux et est préférable à l’utilisation de logiciels malveillants et de portes dérobées courants, car son abus sera moins susceptible d’être détecté par les logiciels de sécurité.
« Nous croyons fermement que les acteurs de la menace en abuseront dans des attaques réelles s’ils ne le font pas déjà », prévient Mitiga dans le rapport.
Abus de l’agent AWS SSM en tant que RAT
AWS Systems Manager (SSM) est un système de gestion des points de terminaison binaire et complet signé par Amazon utilisé par les administrateurs pour la configuration, l’application de correctifs et la surveillance des écosystèmes AWS comprenant des instances EC2, des serveurs sur site ou des machines virtuelles.
Il s’agit d’un outil très populaire qui est préinstallé sur de nombreuses images de modèle de système d’exploitation (AMI) populaires qui peuvent être utilisées pour lancer de nouvelles instances AWS. Par conséquent, les attaquants disposent d’un grand nombre d’hôtes sur lesquels la nouvelle surface d’attaque peut être abusée, d’autres ayant déjà soulevé des inquiétudes concernant SSM en 2019 et 2021.
La découverte de Mitiga est que l’agent SSM peut être configuré pour s’exécuter en mode « hybride » même dans les limites d’une instance EC2, permettant l’accès aux actifs et aux serveurs à partir de comptes AWS contrôlés par l’attaquant.
Lors de la configuration de SSM en mode hybride, il permet à un compte AWS de gérer des machines non EC2, y compris des serveurs sur site, des appareils AWS IoT et des machines virtuelles, y compris celles d’autres environnements cloud.
« Dans nos recherches, nous nous sommes concentrés sur la capacité d’un agent SSM à s’exécuter non seulement sur des instances Amazon Elastic Compute Cloud (EC2), mais également sur des types de machines non EC2 (serveurs dans vos propres locaux et machines virtuelles alias VM, y compris les VM dans d’autres environnements cloud) », explique l’avis de sécurité de Mitiga.
« Nous avons abusé de cette fonctionnalité en enregistrant un agent SSM pour qu’il s’exécute en mode « hybride » même si l’agent s’exécute sur une instance EC2. »
De plus, les commandes bash permettent à l’agent SSM de communiquer et d’exécuter des commandes à l’aide de comptes AWS non associés à l’environnement EC2 compromis. La fonctionnalité de proxy de SSM peut également être utilisée de manière abusive pour faire passer le trafic réseau en dehors de toute infrastructure AWS.
« Nous avons trouvé un moyen unique d’abuser du service SSM, lui permettant de fonctionner de manière transparente comme une infrastructure de cheval de Troie entièrement intégrée, permettant à l’agent du point de terminaison de communiquer avec un compte AWS différent (qui peut être utilisé par l’attaquant) que le compte AWS d’origine. « , explique Mitiga
« En exécutant des commandes à partir d’un compte AWS distinct détenu de manière malveillante, les actions effectuées par l’agent SSM resteront cachées dans le compte AWS d’origine, ce qui compliquera le processus de détection de l’activité malveillante. »
Si le détournement d’agents SSM existants est impossible en raison d’un manque d’autorisations, les pirates peuvent exécuter un autre processus d’agent SSM, qui fonctionne parallèlement à tous les processus existants et donne aux attaquants l’accès à la fonction « Exécuter la commande ».
Cependant, l’attaque est plus facile à détecter dans ce cas car elle laisse plus de traces, et établir la persistance devient plus difficile.
L’abus de l’agent SSM permet aux attaquants de violer les comptes AWS pour exécuter des commandes à distance sans être détectés, car le trafic ressemble à une activité régulière générée par les agents.
Se défendre contre cette attaque
Après avoir divulgué la méthode de post-exploitation à Amazon, l’équipe de sécurité d’AWS a déclaré qu’il était possible de restreindre la réception des commandes dans les instances EC2 à l’aide du point de terminaison VPC pour Systems Manager, en définissant le compte ou l’organisation AWS d’origine comme seule source approuvée.
De plus, Mitiga suggère de retirer l’agent SSM de la liste autorisée des solutions antivirus ou EDR et d’intégrer les techniques de détection présentées dans son rapport dans vos plateformes SIEM et SOAR.
« La popularité généralisée et la confiance initiale associées à l’agent SSM amplifient encore la nécessité pour les organisations de prendre des mesures immédiates pour atténuer cette nouvelle technique », conclut le rapport de Mitiga.