網絡安全研究人員在亞馬遜云平臺(AWS)中發現了一種新的后滲透漏洞，能允許 AWS 系統管理器代理(SSM 代理)作為遠程訪問木馬在 Windows 和 Linux 環境中運行。

　　Mitiga 的研究人員 Ariel Szarf 和 Or Aspir 在與 The Hacker News 分享的一份報告中說：“SSM 代理是管理員用來管理實例的合法工具，攻擊者如果在安裝 SSM 代理的端點上獲得了高權限訪問，就可以重新利用它來持續開展惡意活動。”

　　SSM Agent 是一個安裝在 Amazon EC2 實例上的軟件，使管理員可以通過統一界面更新、管理和配置其 AWS 資源。

　　使用 SSM 代理作為木馬具有諸多優點，能受到端點安全解決方案的信任，并且無需部署可能觸發檢測的其他惡意軟件。為了進一步混淆視聽，攻擊者可以使用自己的惡意 AWS 帳戶作為命令和控制 (C2) 來遠程監控受感染的 SSM 代理。

　　Mitiga 詳細介紹的后滲透技術假定攻擊者已經擁有在安裝并運行了 SSM Agent 的 Linux 或 Windows 端點上執行命令的權限，這需要將 SSM Agent 注冊為在 "混合 "模式下運行，允許與 EC2 實例所在的原始 AWS 賬戶之外的不同 AWS 賬戶通信。這會導致 SSM 代理從攻擊者擁有的 AWS 賬戶執行命令。

　　另一種方法是使用 Linux 命名空間功能啟動第二個 SSM 代理進程，該進程與攻擊者的 AWS 賬戶進行通信，而已在運行的 SSM 代理則繼續與原始 AWS 賬戶進行通信。

　　最后。Mitiga 發現 SSM 代理功能可能被濫用，將 SSM 流量路由到攻擊者控制的服務器(包括非 AWS 賬戶端點)，從而允許攻擊者控制 SSM 代理而無需依賴 AWS 基礎設施。

　　Mitiga 建議企業從防病毒解決方案相關的允許列表中刪除 SSM 二進制文件，以檢測任何異常活動跡象，并確保 EC2 實例響應僅來自使用系統管理器虛擬私有云 (VPC) 端點的原始 AWS 賬戶的命令。
　　（邯鄲小程序）