AWS 系统管理代理的新安全隐患
关键要点
新的攻击方式:Mitiga 研究发现 AWS 系统管理代理可能被用作遥控特洛伊木马。影响范围:Windows 和 Linux 系统均可能受到影响。渗透后的利用:攻击者通过命令执行权限部署后门和特洛伊木马,从而持久控制。潜在危害:数据盗窃、文件系统加密和加密货币挖掘等。检测方法:提供了检测恶意代理活动和非法通信的详细方法。最近,SiliconAngle 报告指出,Amazon Web ServicesAWS的系统管理代理可能被利用为 Windows 和 Linux 系统的集成遥控特洛伊木马。这一新的后渗透攻击方式能够促进终端代理与攻击者拥有的 AWS 账户之间的通信。根据 Mitiga 的报告,运行 SSM 代理的 Windows 和 Linux 机器可能被具备命令执行权限的攻击者攻破,从而启用后门和特洛伊木马的部署,实现持久化控制和终端接管。
梯子免费加速研究人员指出,威胁行为者可以利用这种访问权限进行数据盗窃、文件系统加密、加密货币挖掘活动以及进一步的网络端点感染。研究还提供了如何判断恶意代理持续操作的细节,以及如何检测 SSM 代理与威胁行为者控制的 AWS 账户之间的非法通信。这些发现已被研究人员报告给 AWS 安全团队,以指导其进一步的安全措施。
了解如何保护 AWS 环境,及时更新系统和软件,以及监控潜在的安全威胁至关重要。通过实施多层安全策略和最佳实践,降低遭受攻击的风险。
