カーネル モード ルートキットは、コア オペレーティング システム、および各カーネルお​​よび関連するデバイス ドライバーのコードまたは置換部分を追加することにより、最高のオペレーティング システム権限 (リング 0) で実行されます。ほとんどのオペレーティング システムは、ソフトウェア自体と同様の権限で実行されるカーネル モード デバイス ドライバーをサポートしています。そのため、いくつかのカーネル モード ルートキットは、Linux のロード可能なカーネル モジュールや Microsoft Windows のデバイス ドライバなど、デバイス ドライバまたはロード可能なモジュールとして開発されています。このカテゴリのルートキットには無制限のセキュリティ アクセスがありますが、書き留めるのは困難です。その品質によりバグが一般的になり、カーネル レベルで動作するコードにバグがあると、システムの安定性に重大な影響を及ぼし、ルートキットの発見につながる可能性があります。広く普及している主要なカーネル ルートキットの 1 つは、Windows NT 4 用に開発されました。0で、1999年にグレッグ・ホグランドによってプラック誌で除隊された。カーネル ルートキットは、同様のセキュリティ レベルで動作するため、ソフトウェア自体が最も確実なソフトウェアの動作を傍受または破壊できるため、監視したり持ち去ったりするのが特に困難です。感染したシステム上で実行されているウイルス対策パッケージなどのパッケージも同様に脆弱です。このシナリオでは、システムのどの部分も確実ではありません。

ログイン時にユーザー名とパスワードを受け入れる他のサービスと同様に、AWS ユーザーは攻撃者からのソーシャル エンジニアリング攻撃に対して脆弱です。偽の電子メール、電話、またはその他のソーシャル エンジニアリングの方法により、AWS ユーザーの認証情報が攻撃者の手に渡ってしまう可能性があります。
ユーザーが AWS へのアクセスに API キーのみを使用する場合でも、一般的なフィッシング手法を使用して他のアカウントやユーザーの PC 自体にアクセスできる可能性があり、攻撃者はそこで前述の AWS ユーザーの API キーを取得する可能性があります。
基本的なオープンソース インテリジェンス (OSINT) を使用すると、AWS を定期的に使用する組織の従業員のリストを収集するのは通常は簡単です。このリストは、スピア フィッシングの標的となり、認証情報を収集します。簡単な手法としては、過去 24 時間で請求額が 500 位に急増したことを伝える電子メール、「追加情報についてはここをクリックしてください」が含まれる場合があります。リンクをクリックすると、次の目的で設計された AWS ログイン ページの悪意のあるコピーに転送されます。彼らの資格情報を盗みます。
このような電子メールの例を以下のスクリーンショットに示します。これは、いくつかの小さな変更を除いて、無料利用枠の制限を超えた場合に AWS から送信される電子メールとまったく同じです。スクリーンショット内の強調表示された領域のいずれかをクリックすると、AWS の公式 Web サイトには誘導されず、代わりに認証情報を盗むために設定された偽のログイン ページに転送されます。
これらのメールは、送信する前に少し追加の OSINT を実行することで、さらに具体的になります。攻撃者がオンラインのどこかであなたの AWS アカウント ID を発見する準備ができている場合、rhino が以前に無料で提供した方法を使用して、ログを一切記録せずにアカウントに存在するユーザーとロールを列挙する可能性があります。このリストを使用してターゲット リストをさらに絞り込み、さらに、あなたがよく使用するサービスを参照するためのメールとして使用することもできます。
参考までに、ロールの列挙に AWS アカウント ID を使用するための仕訳投稿はここにあり、ユーザーの列挙に AWS アカウント ID を使用するための仕訳投稿はここにあります。
rhino での取り組みの中で、AWS 環境にアクセスする最も早い方法の 1 つがフィッシングであることがわかりました。