Slide 1
Slide 1 text
ハニートークン型ハニーポットによる
攻撃者の行動分析と
脆弱性の発見と報告まで
~AdministratorAccessポリシー付きアクセスキーを
手にした攻撃者がとる行動とは~
2 0 2 1 年 3 月 2 0 日
J A W S D AY S 2 0 2 1
Slide 2
Slide 2 text
お話ししたいことを書いたら
スライドが100ページを
超えてしまいました。
あとでスライド公開しますので、
サクサク進めさせて頂きます。
ご連絡
Slide 3
Slide 3 text
#jawsdays #jawsdays2021 #jawsdays2021_B 3
自己紹介
Kohei Isono(磯野 亘平)
• 日本電気株式会社(NEC)にて、セキュア開発
推進、脆弱性診断・ペネトレーションテスト、
インシデントレスポンス対応などに従事
(今回の発表は個人の活動です)
• ハニーポットの構築・運用とCTFが趣味
https://graneed.hatenablog.com/
@graneed111
Slide 4
Slide 4 text
#jawsdays #jawsdays2021 #jawsdays2021_B 4
今日お伝えしたいこと
アクセスキーの
管理を徹底しよう
インシデントの
発生に備えよう
脆弱性レポートを
出そう
Slide 5
Slide 5 text
#jawsdays #jawsdays2021 #jawsdays2021_B 5
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 6
Slide 6 text
自身でハニーポット環境の構築お
よび運用をする際は、環境を理解
の上、十分なセキュリティ対策を
実施してください。
注意
Slide 7
Slide 7 text
#jawsdays #jawsdays2021 #jawsdays2021_B 7
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 8
Slide 8 text
#jawsdays #jawsdays2021 #jawsdays2021_B 8
アクセスキーとは
• AWS CLI等のツールやプログラムから
AWSのサービスへのアクセスに使用
• IAMユーザーまたはAWSアカウントの
ルートユーザーの長期的な認証情報
• アクセスキーIDと
シークレットアクセスキーから構成
アクセスキー
ツール
AWS サービス
Slide 9
Slide 9 text
#jawsdays #jawsdays2021 #jawsdays2021_B 9
•アクセスキーを使用していますか?
•どのような権限を付与していますか?
•どのような管理をしていますか?
ホワイトペーパーやベストプラクティスを
見てみましょう
Slide 10
Slide 10 text
#jawsdays #jawsdays2021 #jawsdays2021_B 10
AWS Well-Architected
フレームワーク
セキュリティ
検出
アイデンティティ管理
とアクセス管理
セキュリティの基礎
インフラストラクチャ
保護
データ保護
インシデント対応
オペレーショナル
エクセレンス
信頼性
パフォーマンス
効率
コスト最適化
5本の柱
SEC 2
人とマシンの認証の管理は
どのようにすれば
よいですか?
SEC 3
人とマシンのアクセス許可は
どのように管理すれば
よいでしょうか?
一時的な認証情報を
使用する
定期的に認証情報を
監査およびローテーションする
最小権限のアクセスを
付与する
アクセス許可を
継続的に削減する
ベストプラクティス
AWS Well-Architected フレームワーク - アイデンティティ管理とアクセス管理
https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/a-identity-and-access-management.html
Slide 11
Slide 11 text
#jawsdays #jawsdays2021 #jawsdays2021_B 11
IAMのセキュリティの
ベストプラクティス
•AWS アカウントの
ルートユーザーアクセスキーをロックする
•最小限の特権を認める
•アクセスキーを共有しない
•認証情報を定期的にローテーションする
•不要な認証情報の削除
IAM でのセキュリティのベストプラクティス
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
Slide 12
Slide 12 text
#jawsdays #jawsdays2021 #jawsdays2021_B 12
AWSアクセスキーを
管理するためのベストプラクティス
•アカウントアクセスキーを削除する
(または生成しない)
•長期のアクセスキーの代わりに一時的なセキュ
リティ認証情報(IAMロール)を使用する
•IAMユーザーのアクセスキーを適切に管理する
AWS アクセスキーを管理するためのベストプラクティス
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html
Slide 13
Slide 13 text
#jawsdays #jawsdays2021 #jawsdays2021_B 13
CIS AWS Foundations
Benchmark
2. Storage
1. Identity and
Access Management
3. Logging
4. Monitoring
5. Networking
1.4. Ensure no root user account access key exists
1.11. Do not setup access keys during initial user setup
for all IAM users that have a console password
1.13. Ensure there is only one active access key available
for any single IAM user
1.14. Ensure access keys are rotated every 90 days or less
Slide 14
Slide 14 text
#jawsdays #jawsdays2021 #jawsdays2021_B 14
守るには・守ってもらうには
• ホワイトペーパーやベスト
プラクティスで言われてい
ることは確かに重要
• ただ、忙しい開発現場に必
要性を理解してもらい、腹
落ち(納得)した上で対応
してもうらためには?
Slide 15
Slide 15 text
#jawsdays #jawsdays2021 #jawsdays2021_B 15
守るには・守ってもらうには
• ドキュメントの受け売りだ
けでは説明不足
• 自分で攻撃を受けてみるの
はどうだろうか
• 生の攻撃者の攻撃手法も観
測できると面白そうだ
Slide 16
Slide 16 text
#jawsdays #jawsdays2021 #jawsdays2021_B 16
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 17
Slide 17 text
#jawsdays #jawsdays2021 #jawsdays2021_B 17
ハニーポットとは
• 一言で言うと「おとりのシステム」
• 攻撃者を誘い込み、
攻撃手法や侵入後の動作を収集する
Slide 18
Slide 18 text
#jawsdays #jawsdays2021 #jawsdays2021_B 18
ハニーポットの分類
ハニーポット
攻撃経路
サーバ クライアント
ハニー
トークン
高対話 ハイブリッド 低対話
インタラクション
インタラクション 検知精度 情報収集 偽装性 スケーラ
ビリティ
安全性
低対話型 低 低 低 高 高
高対話型 高 高 高 低 低
コロナ社「実践サイバーセキュリティモニタリング」より
Slide 19
Slide 19 text
#jawsdays #jawsdays2021 #jawsdays2021_B 19
ハニーポットの分類
ハニーポット
攻撃経路
サーバ クライアント
ハニー
トークン
高対話 ハイブリッド 低対話
インタラクション
インタラクション 検知精度 情報収集 偽装性 スケーラ
ビリティ
安全性
低対話型 低 低 低 高 高
高対話型 高 高 高 低 低
コロナ社「実践サイバーセキュリティモニタリング」より
今回、採用した方式
Slide 20
Slide 20 text
#jawsdays #jawsdays2021 #jawsdays2021_B 20
ハニーポットの
システム要件と実現方法
痕跡を保存できること
攻撃者を誘い込めること
安全であること
CloudTrailで証跡ログ保存
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
攻撃を分析できること Athenaを使用した
CloudTrailの証跡ログ分析
Slide 21
Slide 21 text
#jawsdays #jawsdays2021 #jawsdays2021_B 21
ハニーポットの
システム要件と実現方法
痕跡を保存できること
攻撃者を誘い込めること
安全であること
CloudTrailで証跡ログ保存
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
攻撃を分析できること Athenaを使用した
CloudTrailの証跡ログ分析
Slide 22
Slide 22 text
#jawsdays #jawsdays2021 #jawsdays2021_B 22
アクセスキーを提供
• 複数の方法でアクセスキー
を公開し、攻撃者に提供
• 攻撃者は、アクセスキーで
AWS環境に侵入し、何らか
の行動を実施するはず
• その行動を観察する
AWS サービス
②アクセスキーで
侵入、目的行動
攻撃者
ハニー
ポッター
①アクセスキー
を公開
③行動内容
を観察
Slide 23
Slide 23 text
#jawsdays #jawsdays2021 #jawsdays2021_B 23
Administrator Accessポリシー
• IAMのAWS管理ポリシー
• 全てのAWSのサービスを
利用可能な最強の権限
Slide 24
Slide 24 text
#jawsdays #jawsdays2021 #jawsdays2021_B 24
Administrator Accessポリシー
• 攻撃者は、入手したアクセスキー
にこのポリシーがアタッチされて
いたら、勝ち確と思って目的の行
動を始めるはず
• しかし、本当に被害を被る・・・
Slide 25
Slide 25 text
#jawsdays #jawsdays2021 #jawsdays2021_B 25
ハニーポットの
システム要件と実現方法
痕跡を保存できること
攻撃者を誘い込めること
安全であること
CloudTrailで証跡ログ保存
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
攻撃を分析できること Athenaを使用した
CloudTrailの証跡ログ分析
Slide 26
Slide 26 text
#jawsdays #jawsdays2021 #jawsdays2021_B 26
AWS Organizations
• 複数のAWSアカウントを統合するための
アカウント管理サービス
• Service Control Policy(SCP)で、
AWSアカウント単位で権限制御が可能
• ほか、組織内のAWSアカウントの料金の
一括請求、マネージドサービスの統合管
理も可能
Slide 27
Slide 27 text
#jawsdays #jawsdays2021 #jawsdays2021_B 27
W-Aフレームワークでも推奨
SEC 1: ワークロードを安全に運用するには、どうすればよいですか?
https://wa.aws.amazon.com/wat.question.SEC_1.ja.html
Slide 28
Slide 28 text
#jawsdays #jawsdays2021 #jawsdays2021_B 28
マルチアカウントの構成例
• 例えば、以下の切り口でAWSアカウントを作成
–Aシステム用、Bシステム用アカウント
–開発環境用、本番環境用アカウント
–共通アカウント
• 監視・監査用アカウント
• ログ保全用アカウント
• 共通サービス用アカウント
Slide 29
Slide 29 text
#jawsdays #jawsdays2021 #jawsdays2021_B 29
マルチアカウントの構成例
SID331_Architecting Security and Governance Across a Multi-Account Strategy
https://www.slideshare.net/AmazonWebServices/sid331architecting-security-and-governance-across-a-multiaccount-strategy
Slide 30
Slide 30 text
#jawsdays #jawsdays2021 #jawsdays2021_B 30
JAWSDAYS2021でも
• 本セッションと並行して
マルチアカウントをテーマにした
セッションが!
(あとで見ます)
Slide 31
Slide 31 text
#jawsdays #jawsdays2021 #jawsdays2021_B 31
Service Control Policy
【AWS Black Belt Online Seminar】AWS Organizations
https://d1.awsstatic.com/webinars/jp/pdf/services/20180214_AWS-Blackbelt-Organizations.pdf
Slide 32
Slide 32 text
#jawsdays #jawsdays2021 #jawsdays2021_B 32
SCPを使うと
• ハニーポット用のAWSアカウントを
AWS Organizationsのメンバーアカ
ウントにし、マスターアカウントか
らSCPで権限制限すれば、
AdministratorAccessポリシーがア
タッチされていてもサービスを利用
できない状態に
メンバーアカウント
AdministratorAccess
ポリシー
SCPで権限がなければ
サービス利用不可
マスタ―アカウント
Organizations
SCPで権限を制限
AWS サービス
Slide 33
Slide 33 text
#jawsdays #jawsdays2021 #jawsdays2021_B 33
つまり?
• AdministratorAccessをゲットして
ウッキウキな攻撃者に攻撃を空撃ち
させ、安全に観察できる
• メンバーアカウント内の攻撃者の行
動は、すべてマスターアカウントの
掌の上!
Slide 34
Slide 34 text
#jawsdays #jawsdays2021 #jawsdays2021_B 34
SCPの設定
• ReadOnlyAccess同等権限をアタッチ
• 加えて、攻撃者は初手でIAMで権限確認や変更をしようとす
るため、他サービスの書き込み権限さえなければIAMを触れ
ても問題ないと判断しIAMFullAccess同等権限もアタッチ
Slide 35
Slide 35 text
#jawsdays #jawsdays2021 #jawsdays2021_B 35
SCPの上限サイズ
• SCPにはAWS管理ポリシーがない
(FullAWSAccessだけ)
• よって、IAMのReadOnlyAccessポリ
シーの定義をコピーして作成
• ただ、SCPのサイズには
上限サイズ(5120バイト)があり、
ReadOnlyAccessポリシーが収まらない
• 苦肉の策だが、
上限サイズに合わせて分割作成
Slide 36
Slide 36 text
#jawsdays #jawsdays2021 #jawsdays2021_B 36
ハニーポットの
システム要件と実現方法
痕跡を保存できること
攻撃者を誘い込めること
安全であること
CloudTrailで証跡ログ保存
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
攻撃を分析できること Athenaを使用した
CloudTrailの証跡ログ分析
Slide 37
Slide 37 text
#jawsdays #jawsdays2021 #jawsdays2021_B 37
• ユーザー、ロール、または AWS の
サービスによって実行されたアク
ションを記録してくれるサービス
• 本ハニーポットの分析の要
• AWS Organizationsを使用している
と、全アカウントのCloudTrailを一
括で有効化できるので便利
CloudTrail
Slide 38
Slide 38 text
#jawsdays #jawsdays2021 #jawsdays2021_B 38
• CloudTrailからCloudWatchLogsに連携
• Slack通知する関数をLambdaで作成し、
CloudWatchLogsのサブスクリプショ
ンフィルタから呼び出すよう設定
• ただ、一度侵入されると、すぐに通知
が100件以上溜まるため、適宜、通知
条件をカスタマイズ
CloudTrailとSlack連携
Slide 39
Slide 39 text
#jawsdays #jawsdays2021 #jawsdays2021_B 39
GuardDuty
• マネージドの脅威検出サービス
• 料金も激安なので、お守り的に有効化して
おくことが推奨されている。
• CloudWatchEventをトリガーに
Lambdaを呼び出してSlack通知
Slide 40
Slide 40 text
#jawsdays #jawsdays2021 #jawsdays2021_B 40
ハニーポットの
システム要件と実現方法
痕跡を保存できること
攻撃者を誘い込めること
安全であること
CloudTrailで証跡ログ保存
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
攻撃を分析できること Athenaを使用した
CloudTrailの証跡ログ分析
Slide 41
Slide 41 text
#jawsdays #jawsdays2021 #jawsdays2021_B 41
Athenaで分析
• Athenaとは、S3内のデータをSQLを
使用して簡単に分析できるサービス
• CloudTrailの証跡ログを検索する
テーブルを作成
• SQLの実行結果をCSV形式で出力で
きるので、細かい分析はExcelで
Slide 42
Slide 42 text
#jawsdays #jawsdays2021 #jawsdays2021_B 42
システム構成図
Slide 43
Slide 43 text
#jawsdays #jawsdays2021 #jawsdays2021_B 43
システム構成図
Administrator Accessポリシー
付きのアクセスキーを提供
SCPを使用した
AWSアカウントの権限制御
CloudTrailで証跡ログ保存
Athenaを使用した
CloudTrailの証跡ログ分析
Slide 44
Slide 44 text
#jawsdays #jawsdays2021 #jawsdays2021_B 44
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 45
Slide 45 text
#jawsdays #jawsdays2021 #jawsdays2021_B 45
アクセスキーの漏洩シナリオ
①インターネット上のサービスに
アクセスキーを公開
②AMI(Amazonマシンイメージ)に
アクセスキーを残したまま公開
④トップページにアクセスキーを公開
③インスタンスメタデータを公開
Slide 46
Slide 46 text
#jawsdays #jawsdays2021 #jawsdays2021_B 46
アクセスキーの漏洩シナリオ
①インターネット上のサービスに
アクセスキーを公開
②AMI(Amazonマシンイメージ)に
アクセスキーを残したまま公開
④トップページにアクセスキーを公開
③インスタンスメタデータを公開
Slide 47
Slide 47 text
#jawsdays #jawsdays2021 #jawsdays2021_B 47
インターネット上のサービスに
アクセスキーを公開
• テキストデータを保存し公開するサービスである
Pastebinに公開
Slide 48
Slide 48 text
#jawsdays #jawsdays2021 #jawsdays2021_B 48
インターネット上のサービスに
アクセスキーを公開
• Pastebinでキーワードで検索すると、
他者のアクセスキーがHIT・・・
• なお、2020年3月に検索機能は廃止
となった
Slide 49
Slide 49 text
#jawsdays #jawsdays2021 #jawsdays2021_B 49
githubへの公開は?
• githubにアクセスキーを誤って
登録してしまう事例は多い
• ただ、AWS社でも監視しており、
すぐに通知および対策指示を受
ける可能性が高いため、公開は
見送った
• なお、対策しないと、リソース
のブロックやAWSアカウントの
停止される可能性がある
AWS からリソースに関する不正使用の報告を受け取った場合、どうすればよいですか?
https://aws.amazon.com/jp/premiumsupport/knowledge-center/aws-abuse-report/
Slide 50
Slide 50 text
#jawsdays #jawsdays2021 #jawsdays2021_B 50
被害者の声
https://toranoana-lab.hatenablog.com/entry/2018/09/06/204717
https://yoya.hatenadiary.jp/entry/20150404/aws
https://mwookpark.blogspot.com/2018/01/aws-20171227.html
https://qiita.com/mochizukikotaro/items/a0e98ff0063a77e7b694 https://qiita.com/AkiyoshiOkano/items/72002409e3be9215ae7e
Slide 51
Slide 51 text
#jawsdays #jawsdays2021 #jawsdays2021_B 51
アクセスキーの漏洩シナリオ
①インターネット上のサービスに
アクセスキーを公開
②AMI(Amazonマシンイメージ)に
アクセスキーを残したまま公開
④トップページにアクセスキーを公開
③インスタンスメタデータを公開
Slide 52
Slide 52 text
#jawsdays #jawsdays2021 #jawsdays2021_B 52
AMIとは
• AMIとは、EC2インスタンスを作成
するためのテンプレート
• 例えば、AutoScaling構成で動的に
インスタンス追加する際に使用
• AMIはパブリック公開可能
Slide 53
Slide 53 text
#jawsdays #jawsdays2021 #jawsdays2021_B 53
パブリックAMIの公開
• インスタンス内に認証情報を残し
た状態でAMIを作成すると、イ
メージ内に認証情報が残る
• そのAMIをパブリックに共有する
• セキュリティのベストプラクティ
スでも注意されている
AWS セキュリティのベスト プラクティス
https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
Slide 54
Slide 54 text
#jawsdays #jawsdays2021 #jawsdays2021_B 54
パブリックAMIの公開
Slide 55
Slide 55 text
#jawsdays #jawsdays2021 #jawsdays2021_B 55
アクセスキーの漏洩シナリオ
①インターネット上のサービスに
アクセスキーを公開
②AMI(Amazonマシンイメージ)に
アクセスキーを残したまま公開
④トップページにアクセスキーを公開
③インスタンスメタデータを公開
Slide 56
Slide 56 text
#jawsdays #jawsdays2021 #jawsdays2021_B 56
インスタンスメタデータサービス
• EC2インスタンスのホスト
名、セキュリティグループ、
IAMロールなど各種情報を
取得できるサービス
• EC2インスタンス自体から
のみアクセス可能
$ curl http://169.254.169.254/latest/meta-data/
ami-id
ami-launch-index
ami-manifest-path
block-device-mapping/
events/
hostname
iam/
(省略)
$ curl http://169.254.169.254/latest/meta-data/hostname
ip-172-31-6-71.ap-northeast-1.compute.internal
$ curl http://169.254.169.254/latest/meta-data/instance-type
t3.nano
EC2インスタンスからcurlコマンドでアクセスした例
Slide 57
Slide 57 text
#jawsdays #jawsdays2021 #jawsdays2021_B 57
インスタンスメタデータサービス
• インスタンスメタデータか
ら、EC2インスタンスにア
タッチされているIAMロール
の一時的な認証情報の取得
も可能
• MITREのATT&CKでも、攻撃
手法として定義されている
$ curl http://169.254.169.254/latest/meta-
data/iam/security-credentials/lab-dev-c2-role
{
"Code" : "Success",
"LastUpdated" : "2021-03-15T18:24:53Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "ASIARMMTII225WBXGDO7",
“SecretAccessKey” : “FqklOiT4PyPCM4oAnfw+~省略~",
“Token” :
“IQoJb3JpZ2luX2VjEMr//////////wEaDmFwLW5vcnRoZWFzd
C0xIkYwRAIgdJhJCRm6Egmywm2K8DAH5VfIQVciB6uJX1Z3
m5YnI90CIFs5FRHR1~省略~
"Expiration" : "2021-03-16T00:28:58Z"
}
EC2インスタンスからcurlコマンドでアクセスした例
Unsecured Credentials: Cloud Instance Metadata API
https://attack.mitre.org/techniques/T1552/005/
Slide 58
Slide 58 text
#jawsdays #jawsdays2021 #jawsdays2021_B 58
インスタンスメタデータを公開
• http://IPアドレス/latest/へのアクセスを、直接、
インスタンスメタデータサービスへのアクセスに転送する。
外部からのHTTPアクセス結果
Slide 59
Slide 59 text
#jawsdays #jawsdays2021 #jawsdays2021_B 59
アクセスキーの漏洩シナリオ
①インターネット上のサービスに
アクセスキーを公開
②AMI(Amazonマシンイメージ)に
アクセスキーを残したまま公開
④トップページにアクセスキーを公開
③インスタンスメタデータを公開
Slide 60
Slide 60 text
#jawsdays #jawsdays2021 #jawsdays2021_B 60
トップページにアクセスキー公開
• Webサーバのindexページにアクセスキーを公開
• 現実世界では到底あり得ないシナリオ
• ブービートラップ
外部からのHTTPアクセス結果
Slide 61
Slide 61 text
#jawsdays #jawsdays2021 #jawsdays2021_B 61
システム構成図
①インターネット上のサービスに
アクセスキーを公開
②AMIに
アクセスキーを残したまま公開
③インスタンスメタデータを公開
④トップページに
アクセスキーを公開
Slide 62
Slide 62 text
#jawsdays #jawsdays2021 #jawsdays2021_B 62
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 63
Slide 63 text
#jawsdays #jawsdays2021 #jawsdays2021_B 63
サマリ
• ②パブリックAMIに公開したアクセスキーと③インスタンスメタデータの利用は無し
• 攻撃者ごとに行動に特徴があり、自動ツールだけでない人間の息づかいを感じる
攻撃者 侵入経路 主な行動
A ④トップページにアクセスキーを公開 ・IAM、EC2、RDSの情報収集程度
B ④トップページにアクセスキーを公開 ・IAM、S3、Route53の情報収集程度
C ①インターネット上のサービスにアクセスキーを公開 ・S3のListBuckets(バケット一覧の確認)のみ
D ④トップページにアクセスキーを公開 ・短時間に大量の読み取りAPIコール
E ①インターネット上のサービスにアクセスキーを公開 ・SESサービスの確認
F ④トップページにアクセスキーを公開 ・m5ad.12xlargeのEC2インスタンス作成
G ④トップページにアクセスキーを公開 ・大量のAPIコール
H ①インターネット上のサービスにアクセスキーを公開 ・LightsailのDownloadDefaultKeyPairをコール
・IAMユーザーのログインプロファイル作成
・PutUserPermissionsBoundaryで権限を制限
I ①インターネット上のサービスにアクセスキーを公開 ・新規IAMユーザー作成、ログインプロファイ
ルの更新
・S3の新規バケット作成、Organizationsから
の脱退、EC2インスタンスの削除
Slide 64
Slide 64 text
#jawsdays #jawsdays2021 #jawsdays2021_B 64
攻撃者A~C
• IAM、EC2、RDS、S3などの主要な
サービスの情報収集をするだけ
• 特に新鮮味のない退屈な行動
Slide 65
Slide 65 text
#jawsdays #jawsdays2021 #jawsdays2021_B 65
攻撃者D
• 14分間で、98サービスを対象に537
種類のAPIコール
• API名がDescribe、Get、Listから始
まる読み取り用APIのみを呼んでお
り、情報収集に特化
• 少し不気味
Slide 66
Slide 66 text
#jawsdays #jawsdays2021 #jawsdays2021_B 66
攻撃者E
• Simple Email Service(SES)が、
過去24時間に送信したメールの送信数や、
送信可能なメールの最大数を取得する
APIをコール
• それも6つのリージョンに1回ずつ
• レピュテーションの高いEメールアドレス
の有無確認や、該当AWSアカウントの利
用企業の特定をしようとしていた可能性
Slide 67
Slide 67 text
#jawsdays #jawsdays2021 #jawsdays2021_B 67
攻撃者F
• EC2インスタンスの作成、セキュリティグループにSSHポート
の穴あけを要求
• インスタンスタイプはm5ad.12xlarge(5.424USD/時間)
• UserAgentが「AWSToolkitPackage.VS2015~」なのが特徴的
Slide 68
Slide 68 text
#jawsdays #jawsdays2021 #jawsdays2021_B 68
AWS Toolkit for Visual Studio
AWS Toolkit for Visual Studio Demo
https://www.youtube.com/watch?v=B190tcu1ERk
Slide 69
Slide 69 text
#jawsdays #jawsdays2021 #jawsdays2021_B 69
攻撃者G
• 「aws-sdk-go/1.4.10 (go1.7.4;
linux; amd64)」のUserAgentか
ら大量のAPIコール
• AWS用セキュリティテストツー
ル「pacu」を使用している可能
性が高い
Slide 70
Slide 70 text
#jawsdays #jawsdays2021 #jawsdays2021_B 70
Pacuの説明とデモは
JAWS DAYS 2019のセッション参照
PenTesterが知っている危ないAWS環境の共通点
https://www.slideshare.net/zaki4649/pentesteraws
Slide 71
Slide 71 text
#jawsdays #jawsdays2021 #jawsdays2021_B 71
攻撃者H
• Permissions Boundaryを設定し、
なぜか自らの権限をEC2のみに制限。
Service Quotasも確認していた。
• EC2に対する操作が失敗する理由に
悩み、試行錯誤していたと推察
• ほか、Lightsailサービスの
DownloadDefaultKeyPairをコール
Slide 72
Slide 72 text
#jawsdays #jawsdays2021 #jawsdays2021_B 72
Lightsail
• 手軽にアプリケーションや
ウェブサイトの構築ができる
VPSサービス
• 自動的にネットワーキング、
アクセス、およびセキュリ
ティ環境を設定
Slide 73
Slide 73 text
#jawsdays #jawsdays2021 #jawsdays2021_B 73
DownloadDefaultKeyPair
• Lightsailで構築したサーバに、
SSHでログインするためのキーをダウンロードするAPI
• このAPI名で調べてみると以下の記事がHIT。
ReadOnlyでも、AWS Lightsailは完全にReadOnlyではない
https://www.ryuzoji.com/archives/1166
Slide 74
Slide 74 text
#jawsdays #jawsdays2021 #jawsdays2021_B 74
Download
DefaultKeyPair
• ReadOnlyAccessポリシーのVersion47ま
では、Download*の権限が付与
• 2019-04-03 04:07更新の Version48で、
権限が外された
• つまり、以前はReadOnlyAccessの権限
があれば、サーバにログインできた
• もしReadOnlyAccessをコピーしてカス
タムのポリシーを作っている場合は、
この問題が残存している可能性がある
Version 48
Version 47
Slide 75
Slide 75 text
#jawsdays #jawsdays2021 #jawsdays2021_B 75
攻撃者I
• 2週間ほど日次アクセスする粘着さ
• 新規IAMユーザー作成、ログインプロ
ファイル更新してパスワード変更など、
やりたい放題
• ほか、S3バケット作成、EC2インスタ
ンスの削除、Organizationsからの脱退
などを試みていたようだが、
SCPでブロック余裕でした
Slide 76
Slide 76 text
No content
Slide 77
Slide 77 text
#jawsdays #jawsdays2021 #jawsdays2021_B 77
SCPが完全にはいったのに・・・
• SCPの設定を見直すが、EC2の書き込みア
クションは許可していない
• CloudTrailの証跡ログを確認すると、
RunInstancesをコールしてEC2インスタン
スを作成したIPアドレスとUserAgentが、
spotfleet.amazonaws.com
• そして、RunInstancesのコールの直前で、
攻撃者によるRequestSpotFleetのコール
Slide 78
Slide 78 text
#jawsdays #jawsdays2021 #jawsdays2021_B 78
スポットインスタンス
/スポットフリート
• スポットインスタンスは、使用されてい
ないEC2キャパシティを利用して、割安
でインスタンスを立てられるサービス
• スポットフリートは、入札制で、入札価
格が現在のスポット価格を上回っている
と、スポットインスタンスとしてEC2イ
ンスタンスを起動できる
• RequestSpotFleetは入札するAPI
Slide 79
Slide 79 text
#jawsdays #jawsdays2021 #jawsdays2021_B 79
RequestSpotFleetは
PassRoleに依存
• RequestSpotFleetのコールは、
EC2の権限がなくても、IAMの
「PassRole」の権限があれば呼べる
ことが判明
• PassRoleは、AWSのサービスに
ロールをアタッチできる権限
• RunInstancesのコールによるインス
タンス起動はEC2サービスから実行
EC2サービス
(スポットフリート)
RequestSpotFleetを
コールして入札
iam:PassRole権限ありの
IAMユーザ
RunInstancesをコールして
EC2インスタンス起動
(UAはspotfleet.amazonaws.com)
EC2インスタンス
Slide 80
Slide 80 text
#jawsdays #jawsdays2021 #jawsdays2021_B 80
原因の考察
• SCPでアカウントにEC2インスタ
ンスの作成権限を与えていなく
ても、AWSのEC2サービスから
は作成できたようだ
• SCPで、IAMFullAccessを許可し
ていたため、iam:PassRoleの権
限も与えていた
メンバーアカウント
PassRoleがあれば
RequestSpotFleetは可能
iam:PassRole権限ありの
IAMユーザ(アクセスキー)
SCPの制限にかからず
RunInstancesが可能
SCPの制限により
RunInstances不可
マスタ―アカウント
EC2サービス
(スポット
フリート)
EC2インスタンス
Organizations
SCPで
ReadOnlyAccessと
IAMFullAccessのみ許可
Slide 81
Slide 81 text
#jawsdays #jawsdays2021 #jawsdays2021_B 81
【再掲】SCPの設定
• ReadOnlyAccess同等権限をアタッチ
• 加えて、攻撃者は初手でIAMで権限確認や変更をしようとす
るため、他サービスの書き込み権限さえなければIAMを触れ
ても問題ないと判断しIAMFullAccess同等権限もアタッチ
この判断が良くなかった
Slide 82
Slide 82 text
#jawsdays #jawsdays2021 #jawsdays2021_B 82
実験
• ReadOnlyAccessとiam:PassRoleが許可されていれば、
EC2インスタンスを作成できることを確認
Slide 83
Slide 83 text
#jawsdays #jawsdays2021 #jawsdays2021_B 83
攻撃への利用方法
• スポットフリートの入札時に、
AMI、VPC、サブネット、セキュリティグループの
指定が可能
• 任意のプログラムを自動実行させるパブリックAMIを用意し
ておくことで、以下のようなことが可能
–高性能なインスタンスを起動してマイニング
–C2サーバにリバースシェルを張ってVPC内に侵入
Slide 84
Slide 84 text
#jawsdays #jawsdays2021 #jawsdays2021_B 84
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 85
Slide 85 text
突然の国際電話
Slide 86
Slide 86 text
突然のメール
Slide 87
Slide 87 text
#jawsdays #jawsdays2021 #jawsdays2021_B 87
AWSサポートの
暫定措置
• IAMポリシー
「AWSExposedCredentialPolicy_DO_N
OT_REMOVE」を作成し、漏洩したアク
セスキーに紐づくIAMユーザにアタッチ
• 拒否アクションが列挙された
IAMポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1538161409",
"Effect": "Deny",
"Action": [
"iam:UpdateUser",
"iam:AttachUserPolicy",
"lightsail:GetInstanceAccessDetails",
"organizations:InviteAccountToOrganization",
"iam:AttachRolePolicy",
"ec2:StartInstances",
"lightsail:Delete*",
"iam:CreateInstanceProfile",
"iam:UpdateAccessKey",
"iam:PutUserPolicy",
"iam:DeleteUserPolicy",
"iam:AttachGroupPolicy",
"lambda:CreateFunction",
"iam:CreateLoginProfile",
"lightsail:Start*",
"iam:CreateUser",
"ec2:RunInstances",
"lightsail:Create*",
"lightsail:Update*",
"iam:PutUserPermissionsBoundary",
"iam:ChangePassword",
"iam:DetachUserPolicy",
"organizations:CreateAccount",
"iam:PutGroupPolicy",
"organizations:CreateOrganization",
"iam:UpdateAccountPasswordPolicy",
"iam:CreateAccessKey",
"iam:CreateRole",
"lightsail:DownloadDefaultKeyPair",
"ec2:RequestSpotInstances"
],
"Resource": [
"*"
]
}
]
}
Slide 88
Slide 88 text
#jawsdays #jawsdays2021 #jawsdays2021_B 88
利用者側で必要な措置
① ルートユーザーのパスワード変更
② 全てのアクセスキーのローテーション
③ 漏洩したアクセスキーに紐づくIAMユーザの削除
④ 全てのリージョンのリソースをチェック
①~③が完了するまでサポートから対応状況を催促される
一定期間内に対応しないとアカウント凍結されるようだ
Slide 89
Slide 89 text
#jawsdays #jawsdays2021 #jawsdays2021_B 89
AWSCompromisedKeyQuarantine
• 2020/8/12にAWS管理ポリシー
「 AWSCompromisedKeyQuarantine 」
が追加された。
• 今は、このポリシーが、侵害された
IAMユーザにアタッチされる。
Slide 90
Slide 90 text
#jawsdays #jawsdays2021 #jawsdays2021_B 90
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 91
Slide 91 text
#jawsdays #jawsdays2021 #jawsdays2021_B 91
疑問
• EC2の権限がなくても、ス
ポットフリートを入札できる
のは正しいのだろうか?
Slide 92
Slide 92 text
#jawsdays #jawsdays2021 #jawsdays2021_B 92
脆弱性レポート
https://aws.amazon.com/jp/security/vulnerability-reporting/
Slide 93
Slide 93 text
#jawsdays #jawsdays2021 #jawsdays2021_B 93
報告してみた
Slide 94
Slide 94 text
#jawsdays #jawsdays2021 #jawsdays2021_B 94
報告してみた
Slide 95
Slide 95 text
#jawsdays #jawsdays2021 #jawsdays2021_B 95
タイムライン(1/3)
これ問題あると思うんだけど、どう?手順も送るよ。
ありがとう、受け付けしたよ
調査しているよ。5営業日以内にフォローアップするよ
詳細は教えられないけど対応する予定だよ、報告ありがとね
了解、対応完了したら教えてくれる?
あとこの内容、コミュニティで共有しても良い?
問題ないよ。ただ、公開前に内容教えてくれる?
了解、できたら送るよ
2020/3/9
2020/3/16
2020/3/19
2020/3/20
Slide 96
Slide 96 text
#jawsdays #jawsdays2021 #jawsdays2021_B 96
タイムライン(2/3)
インスタンスまだ起動してる?再現手順送ってくれない?
インスタンスはもう消しちゃった。
手順は最初のレポートで送ったけど、もう1回送るよ
もちろん。ところで、この問題っていつ直るの?
2020/4/13
ありがとう、現在も調査しているよ。5営業日以内に連絡するよ
ドラフト版ありがとう
また何か気付いたことあったら報告してね
ドラフト版でも共有してくれない?
ドラフト版の資料送るよ(このスライドの前半部分)
2020/4/17
2020/4/7
2020/4/4
Slide 97
Slide 97 text
#jawsdays #jawsdays2021 #jawsdays2021_B 97
タイムライン(3/3)
• いつの間にか直っていた
2020/5/23
Slide 98
Slide 98 text
#jawsdays #jawsdays2021 #jawsdays2021_B 98
報告後、Amazonが
バグバウンティプログラム開始
Slide 99
Slide 99 text
#jawsdays #jawsdays2021 #jawsdays2021_B 99
認可バイパス 最大$2,500
Slide 100
Slide 100 text
#jawsdays #jawsdays2021 #jawsdays2021_B 100
と思ったらAWSは対象外
よかった。報奨金を逃した人なんていなかったんだね・・・・
Slide 101
Slide 101 text
#jawsdays #jawsdays2021 #jawsdays2021_B 101
目次
1.はじめに
2.ハニーポットの構築
3.漏洩シナリオ
4.攻撃者の行動分析
5.インシデントレスポンス
6.脆弱性レポート
7.最後に
Slide 102
Slide 102 text
#jawsdays #jawsdays2021 #jawsdays2021_B 102
まとめ
アクセスキーの
管理を徹底しよう
インシデントの
発生に備えよう
脆弱性レポートを
出そう
・万が一、漏洩したら即座に使用される。
・使用しないなら、そもそも発行しない。
・可能であればMFAを設定する。
・最小権限の付与も。
・CloudTrailは全アカウント、全リージョン必須。
・ログを分析する手順やツールを予め準備する。
・リソース監視も大事。
・AWS管理の機能にも抜け道や穴はありうる。
・お客様のため、自社のため、自分のため、
AWSを使用しているみんなのため。
Slide 103
Slide 103 text
No content