Upgrade to Pro — share decks privately, control downloads, hide ads and more …

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect servers from miscellaneous attacks

8e8410eb785755ae2cb485f85dbab6e8?s=47 hiroga
June 26, 2022
Technology
0
880

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect servers from miscellaneous attacks

8e8410eb785755ae2cb485f85dbab6e8?s=128

hiroga

June 26, 2022
Tweet

More Decks by hiroga

See All by hiroga
NestJSで作るマルチテナントSaaS / Multi-tenant NestJS-based SaaS
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
180
[AWS CDK] 1,000+のCloudWatch Alarmsを自動生成する技術 / [AWS CDK] Technics to Generate 1,000+ CloudWatch Alarms
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
2
800
Coralの投資先にあらゆる保険金請求をWeb化しようとしている会社があるらしいですよ
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
86
CloudWatch LogsのSlack通知自動化 by AWS-CDK
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
0
590
CloudWatch Alarmsを自動展開する by AWS-CDK
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
530
外形監視の自動セットアップ!Route53 + Mackerel #自動化エンジニアのLT会
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
87
Nantoka-fy @ Coral Developers Night
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
2
230
InsurTech Background
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
160
AWS Cloud Map in Production
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
1
990

Other Decks in Technology

See All in Technology
年700万円損するサーバレスの 認可システムをご紹介します!!
Fb0a40e5e7a9dc85520f1646fd41eb44?s=48 higuuu
3
290
VS Code Meetup #21 - もう一度知りたい基礎編 - ファイル操作、コーディングの基本編
Fc815be82d09a2e922d4000b65b9f83b?s=48 74th
0
160
ログラスを支える技術的投資の仕組み / loglass-technical-investment
F109e64829df9d89239079d68689c938?s=48 urmot
7
1.8k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
19k
AWS CLI のエイリアス機能はいいぞ /jawsug-bgnr-48-lt
573d75e1a72107ff5c806d7e70a9e67d?s=48 michimani
1
260
テスト自動化を最速で軌道に乗せるために
6f8c7b050e551df51ac90c013eee164f?s=48 nozomiito
0
120
Backlogをサポート窓口として活用する/JBUG_Summer_2022
4e7f712e4bba241f579d3dc0eaf130d4?s=48 mito201
0
380
Istioを活用したセキュアなマイクロサービスの実現/Secure Microservices with Istio
00851927294532e0742c2c174730dff0?s=48 ido_kara_deru
3
340
COSCUP x KCD Taiwan 2020 - 那些年我們在開源社群的日子 - Cloud Native Taiwan
E2dd1857f6fc1ff69adb2af80b56e9fc?s=48 pohsien
0
110
Trusted Web プロトタイプ
525442fc70ca92f82ae503f826956137?s=48 finengine
0
310
Amplifyで Webアプリケーションの 堅固な土台をサクッと構築する方法
5026ef3e6d525fb9164f627099d43c58?s=48 kawasakiteruo
0
200
DeepDive into Modern Development with AWS
F42c7349266a0ebefe5b67b7f43c565d?s=48 mokocm
1
310

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
151
13k
A Philosophy of Restraint
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
7
1.1k
Designing the Hi-DPI Web
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
272
32k
Support Driven Design
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
87
8.6k
What's in a price? How to price your products and services
Dad095ea7038f89f760419ce475d5d14?s=48 michaelherold
229
9.4k
BBQ
761be20b5ebd271008bcee1244fc5b52?s=48 matthewcrist
74
7.9k
Building Applications with DynamoDB
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
84
4.7k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
E425fe9f170efa0dfaf8ab69d7107418?s=48 aki_i
25
15k
Bash Introduction
812e1705ff0f8bc1bcf18587bde687d5?s=48 62gerente
598
210k
Gamification - CAS2011
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
75
3.9k
Adopting Sorbet at Scale
2bb923c57a1fdc3a2eb484bb8d565fd2?s=48 ufuk
63
7.6k

Transcript

  1. 雑な攻撃からサーバーを守る一工夫
 +おまけ
 2022-06-26
 JAWS-UG 福岡 #12:9度目もちょっと濃い目にAWSの話をしてみよう 
 #jawsugfuk #jawsug
 Hiroaki

    Ogasawara @xhiroga


  2. 目次
 • はじめに
 • 攻撃
 • 防御
 • まとめ
 •

    ???
 • 今度こそおわり
 • 参考


  3. 免責
 • 発表者はセキュリティの専門家ではありません。
 ◦ 現在学習中の内容を発表しています。
 ◦ 誤りが含まれる可能性があります。
 はじめに


  4. 自己紹介
 はじめに


  5. 使ってね!
 はじめに


  6. None

  7. 攻撃


  8. None

  9. ごく普通のアーキテクチャです
 攻撃
 ALB ECS DB リスナーは HTTPSのみ 有効 React (SPA)

  10. (数年前)CTO「WAF導入したい〜!」
 攻撃
 現 CTO WAF導入したい〜! 
 コストかかりません? 
 でも攻撃されてますよ 


    マジすか?


  11. マジ。
 攻撃来てました。
 URL未公開なのに。
 (攻撃元IPアドレスも乗っ取り被害者の 可能性があるため隠してます) 
 攻撃
 全部ウチのサーバーに 
 存在しないパス


  12. 思ってたのと違った
 思ってた攻撃
 • APIエンドポイントを調べた上での標的型攻撃 
 • アプリケーションが用いるパスに対して、SQL インジェクションなどを試みる 
 実際の攻撃


    • AWSが持っているIPアドレスを狙った無差別型 攻撃(たぶん)
 • .envの誤コミットや.gitの誤デプロイなど、広くあ りそうな間違いを狙う
 • Binanceなどの大手暗号資産取引所への攻撃 の余波らしいものもある
 攻撃


  13. 大手暗号資産取引所への攻撃の余波 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com

    User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 実際の攻撃
 攻撃
 無差別攻撃
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 ※あくまで私の案件で観測された攻撃を分類しただけで、汎用性や網羅性は全く保証できません。 


  14. 影響
 • 存在しないパスにアクセスされるので、4XXエラーが大量に出る
 ◦ モニタリングの4XXが使い物にならない 
 • 万が一存在する脆弱性を突かれたら不安
 攻撃


  15. 推測
 手法
 • AWSの持っているIPアドレスの範囲を自動で 攻撃?
 • 過去に攻撃対象だったIPアドレスを、私達が引 き当ててしまった?
 • 世界中のIPv4の範囲を自動で攻撃?

    
 • DNSサーバーへのブルートフォース攻撃が成 功し、ドメインを取得した? 
 攻撃者がIPアドレスでアクセスしていると推測した場 合、TLS証明書とはドメインが違うのを無視しているこ とになる。まあ攻撃者は気にしないか... 
 目的
 • 侵入可能なサーバーの探索? 
 • セキュリティの勉強?
 攻撃


  16. 防御


  17. Hostヘッダーで防ぐ
 攻撃
 無差別攻撃(再掲)
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows

    NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 大手暗号資産取引所への攻撃の余波(再掲) 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 IPアドレス総当りで攻撃しているせいか *1、Host ヘッダーが的外れ

  18. ※あくまで私の案件で効果が高かっただけで、違う攻撃には効果が薄い可能性があります。 


  19. 6/22 12:16ごろ適用 → 観測範囲では攻撃を 100%ブロック ※6/22以降のAllowedはおそらく全て正常なリクエスト

  20. それ以外の案
 • ALBのHost-based Routingで防ぐ
 ◦ 指定したホスト名以外は403を返す
 • CDNで防ぐ
 ※私達がWAFを用いたのは、単にすでにWAFを使っていたから
 防御


    参考: ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例 - Developers.io 


  21. 試したけど上手く行かなかった案
 防御
 マネジメントルール 有効だが取りこぼしも ある

  22. まとめ


  23. 意外と攻撃を受けている
 • 見直してみましょう。
 • 繰り返しますが、発表者は専門家ではありません。
 ◦ 学習中の内容や誤っている可能性のある内容を含 みます。
 • 皆さんの事例もこの後教えてください!


    まとめ


  24. ちょっと待った!


  25. Hostヘッダーで防ぐ
 ちょっと待った!
 無差別攻撃(再掲)
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows

    NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 大手暗号資産取引所への攻撃の余波(再掲) 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 IPアドレス総当りで攻撃しているせいか *1、Host ヘッダーが的外れ いやいや、ドメインってIPアドレスか ら逆引きできるのでは? 攻撃者、なぜやらない?

  26. IPアドレスからドメイン名を引く方法(2案)
 1. PTRレコードを見る
 2. TLSでサーバー証明書を取得し、証明書内のドメインを読む
 2. を実験します💡
 ちょっと待った!


  27. 実験
 import ssl from os import environ import OpenSSL host_ip

    = “8.8.8.8” cert = ssl.get_server_certificate((host_ip, 443)) x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, cert) components = x509.get_subject().get_components() hostname_byte = components[0][1] print(hostname_byte.decode('UTF-8'))
 ちょっと待った!


  28. 結果: できる!
 ちょっと待った!
 dns.google

  29. • そもそもが「雑な攻撃」なので、攻撃者もいちいち気にしていない?
 • 同一IPで複数Hostを提供している場合にややこしい?
 • 私達のサーバーを狙った攻撃ではない?
 • etc…
 → 結論、攻撃者の考えはよくわからない...


    なぜ使わない...?
 ちょっと待った!


  30. 補足
 セキュリティエンジニアの友人に伺いました。 
 IPアドレスを基にTLS証明書を取得し、記載されているドメインと突き合わせる手法は、ホワイトハッカーが脅威 ハンティングの一環でフィッシングサイトを検出するために利用しているとのこと。 
 ちょっと待った!


  31. 今度こそおわり


  32. 今度こそおわり
 • 雑な攻撃は一工夫で防げる
 • セキュリティを考え出すと、本質的な理解が必要だなぁ と気づく
 • 参加者の皆様、セキュリティの話しましょう!!!
 ちょっと待った!


  33. 参考


  34. • [AWS]AWSのIP帯域を狙った攻撃の実態と対策 
 • ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例 
 • その他、ご助言をくださった皆様 
 参考