Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan
2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。
Mitiga の研究者たちは、「つまり、AWS などでホストされているマシンを侵害した攻撃者は、そのマシンへのアクセスを維持し、さまざまな悪意の活動を再実行できる」と付け加えている。
SSM Agent は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにインストールされるソフトウェアであり、AWS リソースの更新/管理/設定を行うための、統一されたインターフェースを管理者に提供する。
SSM Agent をトロイの木馬として使用するメリットとしては、エンドポイント・セキュリティ・ソリューションから信頼されている点や、検知される可能性が高い追加のマルウェアのデプロイが不要になる点などがある。さらに状況を混乱させるために、脅威アクターたち、自身の悪意の AWS アカウントを Command and Control (C2) として使用し、侵害した SSM Agent をリモートから監視することも可能だ。
Mitiga が詳述する侵入後テクニックで前提となるのは、攻撃者が SSM Agent をインストール/実行している Linux/Windows エンドポイント上で、攻撃者がコマンド実行の権限を持っていることである。
具体的な手順としては、SSM Agent を “hybrid” モードで実行するように登録し、EC2 インスタンスがホストされている本来の AWS アカウントとは異なる、別の AWS アカウントと通信できるようにする。それにより、SSM Agent は、攻撃者が所有する AWS アカウントからコマンドを実行できるようになる。別のアプローチとして挙げられるのは、Linux の名前空間機能を使用して、2つ目の SSM Agent プロセスを起動し、攻撃者の AWS アカウントと通信させることだ。
さらに Mitiga は、SSM プロキシ機能を悪用して、攻撃者が制御するサーバ (非 AWS アカウントのエンドポイントを含む) へ向けて、SSM トラフィックをルーティングできることも発見した。
ユーザー組織に対して推奨されるのは、アンチウイルス・ソリューションに関連する許可リストから SSM バイナリを削除し、異常な活動の兆候を検出することである。また、Systems Manager の Virtual Private Cloud (VPC) エンドポイントを使用して、 本来のAWS アカウントが発信したコマンドに対してのみ、EC2 インスタンスが応答するよう設定すべきである。
研究者たちは、「SSM Agent の制御を窃取した攻撃者たちは、データの窃盗/ファイル・システムの暗号化/暗号通貨マイニングなどのために、エンドポイント・リソースを悪用できる。さらに、ネットワーク内の他のエンドポイントへの伝播などの、悪意の活動を実行できる」と指摘している。
SSM Agent を “hybrid” モードで実行すると問題が生じる可能性がるようです。アンチウイルス・ソリューションに関連する許可リストから、SSM バイナリを削除することが推奨されています。AWS に限らず、クラウド・プロバイダー全般に言えることですが、横への接続を広げることで、シェアを拡大するという性質があります。よろしければ、AWS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.