Upgrade to Pro — share decks privately, control downloads, hide ads and more …

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect servers from miscellaneous attacks

hiroga
June 26, 2022
Technology
0
1.6k

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect servers from miscellaneous attacks

hiroga

June 26, 2022
Tweet

More Decks by hiroga

See All by hiroga
マルチテナントSaaSのカスタム要件に、 Auth0テナントを分割せず向き合う! / Multi tenant SaaS with Auth0
hiroga
1
980
NestJSで作るマルチテナントSaaS / Multi-tenant NestJS-based SaaS
hiroga
1
430
[AWS CDK] 1,000+のCloudWatch Alarmsを自動生成する技術 / [AWS CDK] Technics to Generate 1,000+ CloudWatch Alarms
hiroga
2
1.1k
Coralの投資先にあらゆる保険金請求をWeb化しようとしている会社があるらしいですよ
hiroga
1
90
CloudWatch LogsのSlack通知自動化 by AWS-CDK
hiroga
0
670
CloudWatch Alarmsを自動展開する by AWS-CDK
hiroga
1
570
外形監視の自動セットアップ!Route53 + Mackerel #自動化エンジニアのLT会
hiroga
1
150
Nantoka-fy @ Coral Developers Night
hiroga
2
240
InsurTech Background
hiroga
1
220

Other Decks in Technology

See All in Technology
100アカウントを見据えたAWSマルチアカウント運用 / AWS multi-account operation for 100 accounts
yayoi_dd
0
130
GitHub Actionsと"仲良くなる"ための練習方法
tsubakimoto_s
10
2.5k
Bluesky と Android / Bluesky and Android
akiomik
0
110
エンジニアのためのマネジメント入門/Introduction to Management for Software Engineers
dskst
1
280
ワイヤレス電力伝送について
sbtechnight
PRO
0
430
TryToUseCloudFlareTunnel_20230317.pdf
kenichirokimura
0
170
BIMIとメールセキュリティ
sbtechnight
PRO
0
410
就活は相談したもの勝ち
carta_engineering
0
110
自動運転レベル4解禁にあたり求められる遠隔監視技術
sbtechnight
PRO
0
550
ジョブキューシステムFireworqのアーキテクチャ設計と運用時のベストプラクティス
tarao
1
780
量子コンピュータ時代のプログラミングセミナー / 20230316_Amplify_seminar _route_planning_optimization
fixstars
0
160
マネジメント3.0モデル入門(120分版)
takufujii
11
2.7k

Featured

See All Featured
Support Driven Design
roundedbygravity
88
8.9k
Rebuilding a faster, lazier Slack
samanthasiow
69
7.6k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k
Designing the Hi-DPI Web
ddemaree
273
33k
Producing Creativity
orderedlist
PRO
335
38k
Docker and Python
trallard
30
2k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.5k
Web development in the modern age
philhawksworth
197
9.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k
What's in a price? How to price your products and services
michaelherold
233
9.8k
It's Worth the Effort
3n
177
26k

Transcript

  1. 雑な攻撃からサーバーを守る一工夫

    +おまけ

    2022-06-26

    JAWS-UG 福岡 #12:9度目もちょっと濃い目にAWSの話をしてみよう

    #jawsugfuk #jawsug

    Hiroaki Ogasawara @xhiroga


    View Slide

  2. 目次

    ● はじめに

    ● 攻撃

    ● 防御

    ● まとめ

    ● ???

    ● 今度こそおわり

    ● 参考


    View Slide

  3. 免責

    ● 発表者はセキュリティの専門家ではありません。

    ○ 現在学習中の内容を発表しています。

    ○ 誤りが含まれる可能性があります。

    はじめに


    View Slide

  4. 自己紹介

    はじめに


    View Slide

  5. 使ってね!

    はじめに


    View Slide

  6. View Slide

  7. 攻撃


    View Slide

  8. View Slide

  9. ごく普通のアーキテクチャです

    攻撃

    ALB ECS DB
    リスナーは
    HTTPSのみ
    有効
    React (SPA)

    View Slide

  10. (数年前)CTO「WAF導入したい〜!」

    攻撃


    CTO
    WAF導入したい〜! 

    コストかかりません? 

    でも攻撃されてますよ 

    マジすか?


    View Slide

  11. マジ。

    攻撃来てました。

    URL未公開なのに。

    (攻撃元IPアドレスも乗っ取り被害者の
    可能性があるため隠してます) 

    攻撃

    全部ウチのサーバーに 

    存在しないパス


    View Slide

  12. 思ってたのと違った

    思ってた攻撃

    ● APIエンドポイントを調べた上での標的型攻撃

    ● アプリケーションが用いるパスに対して、SQL
    インジェクションなどを試みる

    実際の攻撃

    ● AWSが持っているIPアドレスを狙った無差別型
    攻撃(たぶん)

    ● .envの誤コミットや.gitの誤デプロイなど、広くあ
    りそうな間違いを狙う

    ● Binanceなどの大手暗号資産取引所への攻撃
    の余波らしいものもある

    攻撃


    View Slide

  13. 大手暗号資産取引所への攻撃の余波 

    GET
    /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY
    Accept: application/json, text/plain, */*
    Host: www.binance.com
    User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0)
    Alamofire/4.9.0
    Mclient-X-Tag: pch5D9lsORjgObhyjdSK
    timeout: 3000
    Connection: close

    実際の攻撃

    攻撃

    無差別攻撃

    GET /.env
    Host: ***.***.***.***
    User-Agent: Mozilla/5.0 (Windows NT 10.0;
    Win64; x64) AppleWebKit/537.36 (KHTML, like
    Gecko) Chrome/60.0.3112.113 Safari/537.36
    Accept: */*
    Accept-Encoding: gzip

    ※あくまで私の案件で観測された攻撃を分類しただけで、汎用性や網羅性は全く保証できません。 


    View Slide

  14. 影響

    ● 存在しないパスにアクセスされるので、4XXエラーが大量に出る

    ○ モニタリングの4XXが使い物にならない

    ● 万が一存在する脆弱性を突かれたら不安

    攻撃


    View Slide

  15. 推測

    手法

    ● AWSの持っているIPアドレスの範囲を自動で
    攻撃?

    ● 過去に攻撃対象だったIPアドレスを、私達が引
    き当ててしまった?

    ● 世界中のIPv4の範囲を自動で攻撃?

    ● DNSサーバーへのブルートフォース攻撃が成
    功し、ドメインを取得した?

    攻撃者がIPアドレスでアクセスしていると推測した場
    合、TLS証明書とはドメインが違うのを無視しているこ
    とになる。まあ攻撃者は気にしないか...

    目的

    ● 侵入可能なサーバーの探索?

    ● セキュリティの勉強?

    攻撃


    View Slide

  16. 防御


    View Slide

  17. Hostヘッダーで防ぐ

    攻撃

    無差別攻撃(再掲)

    GET /.env
    Host: ***.***.***.***
    User-Agent: Mozilla/5.0 (Windows NT 10.0;
    Win64; x64) AppleWebKit/537.36 (KHTML, like
    Gecko) Chrome/60.0.3112.113 Safari/537.36
    Accept: */*
    Accept-Encoding: gzip

    大手暗号資産取引所への攻撃の余波(再掲) 

    GET
    /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY
    Accept: application/json, text/plain, */*
    Host: www.binance.com
    User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0)
    Alamofire/4.9.0
    Mclient-X-Tag: pch5D9lsORjgObhyjdSK
    timeout: 3000
    Connection: close

    IPアドレス総当りで攻撃しているせいか *1、Host
    ヘッダーが的外れ

    View Slide

  18. ※あくまで私の案件で効果が高かっただけで、違う攻撃には効果が薄い可能性があります。 


    View Slide

  19. 6/22 12:16ごろ適用
    → 観測範囲では攻撃を 100%ブロック
    ※6/22以降のAllowedはおそらく全て正常なリクエスト

    View Slide

  20. それ以外の案

    ● ALBのHost-based Routingで防ぐ

    ○ 指定したホスト名以外は403を返す

    ● CDNで防ぐ

    ※私達がWAFを用いたのは、単にすでにWAFを使っていたから

    防御

    参考: ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例 - Developers.io 


    View Slide

  21. 試したけど上手く行かなかった案

    防御

    マネジメントルール
    有効だが取りこぼしも
    ある

    View Slide

  22. まとめ


    View Slide

  23. 意外と攻撃を受けている

    ● 見直してみましょう。

    ● 繰り返しますが、発表者は専門家ではありません。

    ○ 学習中の内容や誤っている可能性のある内容を含
    みます。

    ● 皆さんの事例もこの後教えてください!

    まとめ


    View Slide

  24. ちょっと待った!


    View Slide

  25. Hostヘッダーで防ぐ

    ちょっと待った!

    無差別攻撃(再掲)

    GET /.env
    Host: ***.***.***.***
    User-Agent: Mozilla/5.0 (Windows NT 10.0;
    Win64; x64) AppleWebKit/537.36 (KHTML, like
    Gecko) Chrome/60.0.3112.113 Safari/537.36
    Accept: */*
    Accept-Encoding: gzip

    大手暗号資産取引所への攻撃の余波(再掲) 

    GET
    /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY
    Accept: application/json, text/plain, */*
    Host: www.binance.com
    User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0)
    Alamofire/4.9.0
    Mclient-X-Tag: pch5D9lsORjgObhyjdSK
    timeout: 3000
    Connection: close

    IPアドレス総当りで攻撃しているせいか *1、Host
    ヘッダーが的外れ
    いやいや、ドメインってIPアドレスか
    ら逆引きできるのでは?
    攻撃者、なぜやらない?

    View Slide

  26. IPアドレスからドメイン名を引く方法(2案)

    1. PTRレコードを見る

    2. TLSでサーバー証明書を取得し、証明書内のドメインを読む

    2. を実験します💡

    ちょっと待った!


    View Slide

  27. 実験

    import ssl
    from os import environ
    import OpenSSL
    host_ip = “8.8.8.8”
    cert = ssl.get_server_certificate((host_ip, 443))
    x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, cert)
    components = x509.get_subject().get_components()
    hostname_byte = components[0][1]
    print(hostname_byte.decode('UTF-8'))

    ちょっと待った!


    View Slide

  28. 結果: できる!

    ちょっと待った!

    dns.google

    View Slide

  29. ● そもそもが「雑な攻撃」なので、攻撃者もいちいち気にしていない?

    ● 同一IPで複数Hostを提供している場合にややこしい?

    ● 私達のサーバーを狙った攻撃ではない?

    ● etc…

    → 結論、攻撃者の考えはよくわからない...

    なぜ使わない...?

    ちょっと待った!


    View Slide

  30. 補足

    セキュリティエンジニアの友人に伺いました。

    IPアドレスを基にTLS証明書を取得し、記載されているドメインと突き合わせる手法は、ホワイトハッカーが脅威
    ハンティングの一環でフィッシングサイトを検出するために利用しているとのこと。

    ちょっと待った!


    View Slide

  31. 今度こそおわり


    View Slide

  32. 今度こそおわり

    ● 雑な攻撃は一工夫で防げる

    ● セキュリティを考え出すと、本質的な理解が必要だなぁ
    と気づく

    ● 参加者の皆様、セキュリティの話しましょう!!!

    ちょっと待った!


    View Slide

  33. 参考


    View Slide

  34. ● [AWS]AWSのIP帯域を狙った攻撃の実態と対策

    ● ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例

    ● その他、ご助言をくださった皆様

    参考


    View Slide