AWS 后渗透与持久化方法论

在 AWS 环境中完成提权后，攻击进入后渗透阶段。与传统渗透测试不同，云环境的后渗透面临独特挑战：数据分散在数十个托管服务中（S3/RDS/DynamoDB/SecretsManager 等），横向移动以跨账户角色链为主而非网络层跳板，持久化后门可以是一个 IAM 密钥、一条 EventBridge 规则或一个 Lambda Layer——所有操作都在 CloudTrail 的监控之下。

核心思路：云后渗透是 "API 驱动" 的——每一步操作都是 API 调用，都会留下日志。因此攻击者必须在 "获取价值" 和 "控制噪声" 之间取得平衡。本技能按 4 个阶段组织：数据发现与窃取 → 横向移动 → 持久化 → 痕迹清理。

深入参考

识别到具体后渗透场景后，加载对应参考文档获取完整技术细节：

• 各服务数据窃取命令与技巧（S3/EBS/RDS/DynamoDB/Lambda/Secrets 等） → 读 references/data-exfiltration.md
• 持久化后门技术全集（IAM/Lambda/EC2/EventBridge/SNS/CloudTrail 规避等） → 读 references/persistence-backdoor.md

Phase 1: 数据发现与窃取

获取高权限后，首要目标是发现并窃取高价值数据。按以下决策树选择目标服务：