JAWS DAYS 2022で登壇した資料。詳細な解説は下記ブログから。 https://dev.classmethod.jp/articles/jaws-days-2022-guardduty-tips-and-tricks/
2022年秋の最新GuardDuty攻略ガイド〜裏技封じとマルウェアスキャン〜2022/10/08⾅⽥佳祐1#jawsdays2022#jawsug#jawsdays#jawsdays2022_c
View Slide
2こんにちは、⾅⽥です。みなさん、AWSのセキュリティ対策してますか︖(挨拶
3⾃⼰紹介⾅⽥佳祐(うすだけいすけ)・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダーAWS公認インストラクター2021 APN Ambassador2022 APN AWS Top Engineers (Security)・CISSP・Security-JAWS運営・好きなサービス:GuardDuty / DetectiveSecurity HubみんなのAWS(技術評論社)
4セッションの概要• Amazon GuardDutyのこれまで• 攻撃者に対するAWS運営の本気• 新機能マルウェアスキャン素敵
5突然ですがみなさん、セッションレベル⾒てますか︖
6タイムテーブルのセッションレベルCfPで⾃⼰申告する値
7セッションレベル集計結果• Lv100: 2セッション• Lv200: 11セッション• Lv300: 14セッション• Lv400: 1セッション• みんな絶対おかしいよ…• 300のセッションもめっちゃいい内容が多いハズ• もっと⾃⾝を持ってLv400しようよ︕
8ところでみなさん、セッション概要⾒てますか︖
9このセッションの概要⽂Lv400のセッションが1つしかなくてそれがオタク⽤のセッションということは…🤔
10Lv400は⾏き過ぎた⼀部のオタクのセッションということですよね︖運営の⼈ごめんなさい
Attentionこれはネタセッションです︕
12このセッションはGuardDutyオタクの私がAWSという恋愛シミュレーションゲームでかわいいGuardDutyを攻略する話
13真⾯⽬な話を聞きたい⼈は
14AWSセキュリティの整理(登壇履歴)AWSセキュリティ事始め〜基礎からはじめてクラウドセキュリティの恩恵を受ける〜[初⼼者向け]AWS環境のセキュリティ運⽤(設計)をはじめてみようみんなでセキュリティを強化︕仕組みで解決するAWS環境のマネジメント & ガバナンスAWS Control Towerを利⽤したマルチアカウント管理とセキュリティ統制
15セッションの概要• Amazon GuardDutyのこれまで• 過去の攻略情報• 攻撃者に対するAWS運営の本気• 新ルート1: 迫真の裏技封じ• 新機能マルウェアスキャン素敵• 新ルート2: 嫁の新しい側⾯を垣間⾒る
16セッションの対象者• Amazon GuardDutyは俺の嫁という⼈• セキュリティサービスを攻略したい⼈• みんなの嫁のAWSサービスはなんですか︖• #jawsdays2022とかつけて嫁をつぶやこう︕
171. 過去の攻略情報
18合わせて読みたいツンデレなGuardDutyの攻略⽅法について⽇本語と英語翻訳で語ったhttps://dev.classmethod.jp/articles/tsundere-guardduty-in-jaws-pankration-2021/
19かんたんなおさらい(ネタバレは控えめ)
20In re:Invent 2017
21あらすじ2017年末、re:Inventで発表されたGuardDutyに僕は恋をした…セキュリティサービスだから僕は興味津々でいろんなアタック(⽂字通り攻撃)をしてみたでも彼⼥はとんでもないツンデレで攻略するのはすごく⼤変いろんなラブレター(攻撃スクリプト)に対して検知してくれたり検知してくれなかったりする彼⼥にやきもきしていた
22怪⽂書すぎるのでもう少し補⾜内容は真⾯⽬なところもちゃんとあって、PrevilegeEscalationとかDNSRebindとかの検知⽅法について紹介しているよ(攻略情報だからね)
23そんな彼⼥(GuardDuty)に今回新しいルート(機能)が追加された
24攻略対象のルートがどんどん追加されるというのはつまりAWSはクラウド恋愛シミュレーションゲームで永遠とシナリオが配布される
251. 過去の攻略情報まとめ• というわけで今回はツンデレGuardDutyの続き• この終わりのないアップデートに追随するGuardDutyオタクの攻略まとめ• 新ルートちょーいいからみんな攻略して
262. 新ルート1: 迫真の裏技封じ
272022年1⽉のアップデート• 以前から存在していたEC2から盗まれたクレデンシャルの利⽤を検知するInstanceCredentialExfiltrationのFindingTypesが2種類になった• 既存のものはInstanceCredentialExfiltration.OutsideAWS• 新規のものはInstanceCredentialExfiltration.InsideAWS
28合わせて読みたいUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrationのアップデートについての記事https://dev.classmethod.jp/articles/guardduty-detect-exfiltration-ec2-credentials-inside/
29旧来の動作漏洩したクレデンシャルが外部から利⽤されると検知AWS外のIPからEC2のクレデンシャル使⽤は不審︕InstanceCreden+alExfiltra+on
30旧来の動作(つづき)別のAWS環境からだと検知できなかったAWS外のIPからEC2のクレデンシャル使⽤は不審︕AWS内のIPはヨシ︕バレないぜInstanceCreden+alExfiltra+on
31合わせて読みたいアップデート前なのでGCPから攻撃をした事例実際のインシデントハンドリングの参考にどうぞhttps://dev.classmethod.jp/articles/review-security-camp-and-tigersecjaws-02/
32AWS運営本気の裏技封じ
33アップデード後別のAWS環境からでも検知︕AWS外のIPからEC2のクレデンシャル使⽤は不審︕別のAWSだから不審︕バレた︕InstanceCreden+alExfiltra+on.OutsideAWSInstanceCreden+alExfiltra+on.InsideAWS
34アップデートされた彼⼥「裏技で逃れようとしたってそうは⾏きませんよ…」(ツンと⾔うよりヤン⼊ってる︖)
35検知内容の詳細InstanceCredentialExfiltration.InsideAWSでは新しいパラメータとしてremoteAccountDetailsが追加され利⽤されたAWSアカウントIDが確認できる⾒覚えあるアカウントIDかチェック
36不正なユーザーは運営に通報remoteAccountDetailsが追加されたのでこれで具体的なアカウントもわかる知らないアカウントだったらサポート窓⼝やReportAmazon AWS abuseからも通報できるhttps://support.aws.amazon.com/#/contacts/report-abuse
37InstanceCreden3alExfiltra3on.InsideAWSルート攻略⽅法
38彼⼥に振り向いてもらう(検知させる)⽅法EC2からクレデンシャルを取得[[email protected] ~]$ mu=h=p://169.254.169.254/latest/meta-data/iam/security-credenJals/;curl -s $mu | echo $mu$(cat) | xargs -n1 curl{"Code" : "Success","LastUpdated" : "2022-01-22T07:57:56Z","Type" : "AWS-HMAC","AccessKeyId" : "ASIAXXXXXXXXXXXXXXG4","SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx","Token" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==","ExpiraJon" : "2022-01-22T14:24:21Z”}EC2SessionManager
39合わせて読みたいjqいらずのワンライナー地味ですがどうぞhttps://dev.classmethod.jp/articles/ec2-credentials-exfiltration-oneliner/
40彼⼥に振り向いてもらう(検知させる)⽅法別AWS環境でCloudShellなどから利⽤$ export AWS_ACCESS_KEY_ID=ASIAXXXXXXXXXXXXXXG4$ export AWS_SECRET_ACCESS_KEY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx$ export AWS_SESSION_TOKEN=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==[[email protected] ~]$ aws sts get-caller-idenJty{"UserId": "AROAXXXXXXXXXXXXXXXXX:i-0f8xxxxxxxxxxxxxx","Account": "999999999999","Arn": "arn:aws:sts::999999999999:assumed-role/EC2Role/i-0f8xxxxxxxxxxxxxx"}[[email protected] ~]$ aws s3 lsAn error occurred (AccessDenied) when calling the ListBuckets operaJon: AccessDenied
413. 新ルート2:嫁の新しい側⾯を垣間⾒る
422022年7⽉のアップデート• Malware Protectionが実装• 機能名はMalware Protectionだけど、動作としては検知• マルウェアの動きを直接⽌めない• EBSのスナップショットを取得しこれをスキャンするため、動作している実環境に影響ない
43合わせて読みたいついに来たマルウェアスキャンガッツリ解説しているのでどうぞhttps://dev.classmethod.jp/articles/guardduty-support-malware-protection/
44実はリリース前に気づいていたリリースから遡ること8ヶ⽉いつもどおりGuardDutyのレスポンスを眺めていたらkubernetesとmalwareScanの⽂字が含まれたレスポンスを受信した普段から攻略対象をよく観察するのはオタクの使命(でもおもらしはだめよ
45イベントトリガーMalware Protectionは特定のGuardDuty Findingsが発⽣すると実⾏される• Backdoor:EC2/C&CActivity.B• Backdoor:EC2/C&CActivity.B!DNS• Backdoor:EC2/DenialOfService.Dns• Backdoor:EC2/DenialOfService.Tcp• Backdoor:EC2/DenialOfService.Udp• Backdoor:EC2/DenialOfService.UdpOnTcpPorts• Backdoor:EC2/DenialOfService.UnusualProtocol• Backdoor:EC2/Spambot• CryptoCurrency:EC2/BitcoinTool.B• CryptoCurrency:EC2/BitcoinTool.B!DNS• Impact:EC2/AbusedDomainRequest.Reputation• Impact:EC2/BitcoinDomainRequest.Reputation• Impact:EC2/MaliciousDomainRequest.Reputation• Impact:EC2/PortSweep• Impact:EC2/SuspiciousDomainRequest.Reputation• Impact:EC2/WinRMBruteForce (アウトバウンドのみ)• Recon:EC2/Portscan• Trojan:EC2/BlackholeTraffic• Trojan:EC2/BlackholeTraffic!DNS• Trojan:EC2/DGADomainRequest.B• Trojan:EC2/DGADomainRequest.C!DNS• Trojan:EC2/DNSDataExfiltration• Trojan:EC2/DriveBySourceTraffic!DNS• Trojan:EC2/DropPoint• Trojan:EC2/DropPoint!DNS• Trojan:EC2/PhishingDomainRequest!DNS• UnauthorizedAccess:EC2/RDPBruteForce (アウトバウンドのみ)• UnauthorizedAccess:EC2/SSHBruteForce (アウトバウンドのみ)• UnauthorizedAccess:EC2/TorClient• UnauthorizedAccess:EC2/TorRelay
46動作イメージトリガーを検知するとスナップショットを取る
47結果の確認どのようなタイプのマルウェアか、ファイルパス、ファイル名を確認できる下のファイルは.tar.gzだが中⾝までちゃんと⾒てくれている
48検知結果のフォーマットMaliciousFileタイプのFindingsのjsonでは“Service. EbsVolumeScanDetails”配下にこれらの検知結果が格納されている詳細はユーザーガイドの下記リンクhttps://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_findings-summary.html#malware-protection-scan-details
49マルウェアスキャンの何が嬉しいのか︖
50これまでのGuardDuty運⽤「このEC2怪しいよ︕調べて」
51これまでのGuardDuty運⽤• 検知したEC2が本当に危ないのか調べる必要があった• どうやって︖• ログインしてみる︖• どのツールで︖• 本当はマルウェア対策が備わっていることが理想• TrendMicroのWorkload Securityちゃんもいいぞ• (旧Deep Security)
52今のGuardDuty運⽤「このEC2怪しかったからスキャンしておいたぜ」
53やだイケメン…///
54つまりGuardDutyはかわいくて俺の嫁でツンデレでイケメンということだ
55Malware Protec3onルート攻略⽅法
56攻略⽅法攻略のステップ1. 検知されるマルウェアをEC2に仕込む(フラグを⽴てる)2. 対象EC2が検知されるイベントトリガーを引く(ルート分岐)事前のフラグ管理が重要なんですね︕
571. マルウェアを仕込む⼀番簡単なのはeicarファイルを設置すること味気ないと感じたらこちらも参考にどうぞhttps://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
582. イベントトリガーを引く• 前述記事ではコインマイナーのドメインへの通信で検知させている• GuardDutyのテスト⽤ドメインを利⽤する⽅法もある• guarddutyc2activityb.com• Backdoor:EC2/C&CActivity.B!DNSが検知できる• https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-ec2.html
59おまけ: 公式の⾃動化ルート私は⼀個⼀個⾃分で動作を確認していくのが好きですが、公式の⾃動化ルートも⽤意されていますhttps://github.com/awslabs/amazon-guardduty-tester
60検知するFinding Types
61追加されたFinding Types• Execution:EC2/MaliciousFile• Execution:ECS/MaliciousFile• Execution:Kubernetes/MaliciousFile• Execution:Container/MaliciousFile• Execution:EC2/SuspiciousFile• Execution:ECS/SuspiciousFile• Execution:Kubernetes/SuspiciousFile• Execution:Container/SuspiciousFile
62コンテナ環境も対応してるけど…https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/malware-protection.html
63Fargate対応していない• かなしい• でも新機能が出たばかりで仕⽅ない• 流⽯にそのうち対応するでしょう• と、そう思っていませんか︖
64⽢えないでくださいAWSはフィードバックがすべてみんなで要望を送りまくるのです︕
65欲しい機能はフィードバック︕• 「そのうち」「誰かが」と他⼈任せにしない• あなたが欲しいなら、あなたがリクエスト︕• フィードバックが多ければガンガン対応するのがAWS• Twitterでつぶやくのもだめじゃないけど薄い• (誰か拾って(/ω・\)チラッは意味ない)• サポートへ、TAMへ(あれば)直接リクエスト︕• ユーザーの声が⼀番響きます
66フィードバックするのってゲームのアンケートハガキみたいですね(しらんけど
67みんなでリクエストするのってつまり全員参加型ゲームのルート選択では︖⾃分の好みの選択を選んでヒロインを育てよう
68まとめ
69まとめ• Amazon GuardDutyはかわいくて俺の嫁でツンデレでイケメン• 全員でルート選択しよう• 無限に続くこのゲームにみんな参加しよう
70
cmusudakeisuke
ad5jp
akiomik
koba1t
ikuyamada
stefafafan
foursue
line_developers
odasho
nozomiito
kentosuzuki
toshiaizawa
bluesmoon
sferik
eitanlees
shpigford
chrisshort
ufuk
stephaniewalter
colly
lara
caitiem20
chrislema
smashingmag