Persistencia en AWS con implantes en imágenes de contenedores

Facebooktwitterlinkedinmail

Una de las tácticas más comunes cuando un atacante logra el acceso inicial es obtener persistencia. El objetivo de esta es mantenerse en la infraestructura pese a que se reinicie el equipo, las contraseñas o haya cualquier interrupción que pueda interrumpir el acceso inicial. Una de las técnicas utilizadas para obtener persistencia en AWS si en la cuenta se usa Amazon Elastic Container Registry (ECR) es añadiendo implantes en las imágenes de los contenedores.

Esta técnica la encontramos bajo en nombre Implant Container Image en Mitre Att&ck y tiene el ID T1525.

Estos son los pasos que podría seguir un atacante para lograr persistencia en AWS tras conseguir un usuario con permisos al ECR:

En primer lugar, es necesario listar los repositorios que existen en la cuenta:

aws ecr describe-repositories

Tras descubrir los repositorios, se pueden listar las imágenes del repositorio con el comando:

Leer más