$30 off During Our Annual Pro Sale. View Details »

2022年秋の最新GuardDuty攻略ガイド〜裏技封じとマルウェアスキャン〜

 2022年秋の最新GuardDuty攻略ガイド〜裏技封じとマルウェアスキャン〜

JAWS DAYS 2022で登壇した資料。詳細な解説は下記ブログから。
https://dev.classmethod.jp/articles/jaws-days-2022-guardduty-tips-and-tricks/

cm-usuda-keisuke

October 08, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

    APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)
  2. 7 セッションレベル集計結果 • Lv100: 2セッション • Lv200: 11セッション • Lv300:

    14セッション • Lv400: 1セッション • みんな絶対おかしいよ… • 300のセッションもめっちゃいい内容が多いハズ • もっと⾃⾝を持ってLv400しようよ︕
  3. 15 セッションの概要 • Amazon GuardDutyのこれまで • 過去の攻略情報 • 攻撃者に対するAWS運営の本気 •

    新ルート1: 迫真の裏技封じ • 新機能マルウェアスキャン素敵 • 新ルート2: 嫁の新しい側⾯を垣間⾒る
  4. 38 彼⼥に振り向いてもらう(検知させる)⽅法 EC2からクレデンシャルを取得 [ec2-user@ip-172-31-24-107 ~]$ mu=h=p://169.254.169.254/latest/meta- data/iam/security-credenJals/;curl -s $mu |

    echo $mu$(cat) | xargs -n1 curl { "Code" : "Success", "LastUpdated" : "2022-01-22T07:57:56Z", "Type" : "AWS-HMAC", "AccessKeyId" : "ASIAXXXXXXXXXXXXXXG4", "SecretAccessKey" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx", "Token" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx==", "ExpiraJon" : "2022-01-22T14:24:21Z” } EC2 Session Manager
  5. 40 彼⼥に振り向いてもらう(検知させる)⽅法 別AWS環境でCloudShellなどから利⽤ $ export AWS_ACCESS_KEY_ID=ASIAXXXXXXXXXXXXXXG4 $ export AWS_SECRET_ACCESS_KEY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx $

    export AWS_SESSION_TOKEN=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx== [cloudshell-user@ip-10-0-106-126 ~]$ aws sts get-caller-idenJty { "UserId": "AROAXXXXXXXXXXXXXXXXX:i-0f8xxxxxxxxxxxxxx", "Account": "999999999999", "Arn": "arn:aws:sts::999999999999:assumed-role/EC2Role/i-0f8xxxxxxxxxxxxxx" } [cloudshell-user@ip-10-0-106-126 ~]$ aws s3 ls An error occurred (AccessDenied) when calling the ListBuckets operaJon: Access Denied
  6. 42 2022年7⽉のアップデート • Malware Protectionが実装 • 機能名はMalware Protectionだけど、動作として は検知 •

    マルウェアの動きを直接⽌めない • EBSのスナップショットを取得しこれをスキャンす るため、動作している実環境に影響ない
  7. 45 イベントトリガー Malware Protectionは特定のGuardDuty Findings が発⽣すると実⾏される • Backdoor:EC2/C&CActivity.B • Backdoor:EC2/C&CActivity.B!DNS

    • Backdoor:EC2/DenialOfService.Dns • Backdoor:EC2/DenialOfService.Tcp • Backdoor:EC2/DenialOfService.Udp • Backdoor:EC2/DenialOfService.UdpOnTcpPorts • Backdoor:EC2/DenialOfService.UnusualProtocol • Backdoor:EC2/Spambot • CryptoCurrency:EC2/BitcoinTool.B • CryptoCurrency:EC2/BitcoinTool.B!DNS • Impact:EC2/AbusedDomainRequest.Reputation • Impact:EC2/BitcoinDomainRequest.Reputation • Impact:EC2/MaliciousDomainRequest.Reputation • Impact:EC2/PortSweep • Impact:EC2/SuspiciousDomainRequest.Reputation • Impact:EC2/WinRMBruteForce (アウトバウンドのみ) • Recon:EC2/Portscan • Trojan:EC2/BlackholeTraffic • Trojan:EC2/BlackholeTraffic!DNS • Trojan:EC2/DGADomainRequest.B • Trojan:EC2/DGADomainRequest.C!DNS • Trojan:EC2/DNSDataExfiltration • Trojan:EC2/DriveBySourceTraffic!DNS • Trojan:EC2/DropPoint • Trojan:EC2/DropPoint!DNS • Trojan:EC2/PhishingDomainRequest!DNS • UnauthorizedAccess:EC2/RDPBruteForce (アウトバウ ンドのみ) • UnauthorizedAccess:EC2/SSHBruteForce (アウトバウ ンドのみ) • UnauthorizedAccess:EC2/TorClient • UnauthorizedAccess:EC2/TorRelay
  8. 51 これまでのGuardDuty運⽤ • 検知したEC2が本当に危ないのか調べる必要があっ た • どうやって︖ • ログインしてみる︖ •

    どのツールで︖ • 本当はマルウェア対策が備わっていることが理想 • TrendMicroのWorkload Securityちゃんもいいぞ • (旧Deep Security)
  9. 58 2. イベントトリガーを引く • 前述記事ではコインマイナーのドメインへの通信で 検知させている • GuardDutyのテスト⽤ドメインを利⽤する⽅法もあ る •

    guarddutyc2activityb.com • Backdoor:EC2/C&CActivity.B!DNSが検知できる • https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/g uardduty_finding-types-ec2.html
  10. 61 追加されたFinding Types • Execution:EC2/MaliciousFile • Execution:ECS/MaliciousFile • Execution:Kubernetes/MaliciousFile •

    Execution:Container/MaliciousFile • Execution:EC2/SuspiciousFile • Execution:ECS/SuspiciousFile • Execution:Kubernetes/SuspiciousFile • Execution:Container/SuspiciousFile
  11. 65 欲しい機能はフィードバック︕ • 「そのうち」「誰かが」と他⼈任せにしない • あなたが欲しいなら、あなたがリクエスト︕ • フィードバックが多ければガンガン対応するのが AWS •

    Twitterでつぶやくのもだめじゃないけど薄い • (誰か拾って(/ω・\)チラッは意味ない) • サポートへ、TAMへ(あれば)直接リクエスト︕ • ユーザーの声が⼀番響きます
  12. 70