AWSセキュリティに関するハンズオンに参加したので、実際に検知されたアラートやログをもとに、攻撃の流れや読み取れる内容を整理しました。
ハンズオン全体像
本ハンズオンでは、1つのAWSアカウント内に「攻撃環境」と「被害環境」を同居させ、実際に攻撃が行われた際に何が検知され、どのように見えるのかを観察することを目的としています。
- 攻撃
- 検知
- 通知
という一連の流れを体験できる構成です。
攻撃手法そのものには触れず、検知内容と分析にフォーカスしています。
ざっくり以下のような構成です。
環境の前提
今回の疑似攻撃と検知を再現するために、以下の設定が意図的に施されています。
疑似攻撃サーバー
- 名称:
threat-detection-wksp: Malicious Host - このサーバーのIPアドレスをGuardDutyの脅威IPリストに登録
- 攻撃元として扱われる構成
被害 Web サーバー
- 名称:
threat-detection-wksp: Compromised Instance - IAMロール:
threat-detection-wksp-compromised-ec2 - SSHの脆弱設定
- パスワード認証を有効化
-
0.0.0.0/0からのSSH許可
- S3へのアクセス制御が緩いIAM権限
→攻撃シナリオが成立するよう、意図的に緩めた構成です。
SSHブルートフォース攻撃
SSHブルートフォース攻撃とは、攻撃者がターゲットマシンを乗っ取るために、SSHのログインパスワードを総当たりで試行する攻撃です。
今回は以下の2種類のアラートが検出されました。
- 被害WebサーバーがSSHブルートフォース攻撃を受けている(Low)
- 同一アカウント内の疑似攻撃サーバーが攻撃源としてブルートフォースを実行している(High)
※本来はインターネット上からの攻撃を想定していましたが、同一アカウント内のサーバーが攻撃を実行しており、より悪質と評価されたと推定します。
SSHログから分かるブルートフォースの典型パターン
Security Hubにて検知されたログを確認します。
CloudWatch Logsを時系列で見ると、典型的なブルートフォース攻撃の流れが確認できます。
-
Invalid user username from 疑似攻撃サーバー
存在しないユーザー名でログインを試行
-
Input_userauth_request: invalid user
パスワードチェック前の認証要求で拒否
-
Failed none
パスワードなしのログイン方式での試行
-
Failed password for invalid user
今後はパスワード付きで試行
-
Received disconnect Bye Bye [preauth]
自動攻撃ツールが切断して次へ
これらの試行が短時間に繰り返されており、典型的なブルートフォース攻撃であることが分かります。
今回、攻撃を受けたことに関する重大度はLowとなっており、明確なロジックは不明ですが、おそらく今回のケースは実際には侵害に繋がらない前段階のものであり、成功の兆候、踏み台化も見られなかったためリスクは低くLowと評価されたと考えられます。
なお、今回は攻撃を受けるという点にだけフォーカスしており、攻撃側のアラートは想定していませんでしたが、Highとなった背景には、管理下にあるアカウント内で仮想マシンがブルートフォースを仕掛ける攻撃源であり踏み台として悪用されている可能性があるという理由から重大度Highと評価されたと考えられます。攻撃側の異常挙動もGuardDutyは正しく検知した形になります。
想定される対策は、以下の内容が考えられます。
- セキュリティグループでの接続元制限
- SSHパスワード認証の無効化
- SSM Session Managerの利用
ただし、設定ミスにより対策が取られていないケースも多く、CSPM(CNAPP)による継続的なチェックが有効かと考えます。
S3への不正アクセス
S3に対する不正アクセスがHighとして検出されました。
MaliciousIPCaller.Customの検知内容
このアラートから分かること
- 悪意あるIPアドレスから S3 GetObjectが実行された
- IAM Access KeyによるAPI呼び出し(=攻撃者がキーを所持)
→つまり、攻撃者が既にクレデンシャルを盗んでいることを意味します。
JSON から分かる盗まれた一時クレデンシャルの証拠
"type": "AWS::IAM::AccessKey"
→AccessKeyを使ったイベント
"uid": "ASIA~"
→ASIA始まりはSTSの一時クレデンシャル
"uid": "AROA~:i-0e~"
→どのEC2のロールから生成されたか
これにより、
- 被害WebサーバーのIAMロールからSTS一時クレデンシャルが生成された
- 攻撃者によって利用された
という事実が明確になります。
GetObjectの証拠
ポイントは以下のとおりです。
"operation": "Getobject"
→S3オブジェクト取得の試行
発信元IPが脅威リストのIPと一致
→攻撃者側のホストから実行
"resource_role": "TARGET"
→被害アカウントのS3バケットが攻撃対象
これらを総合すると、
攻撃者が盗んだ一時クレデンシャルを使い、脅威IPからS3を不正にダウンロードしようとしたことが読み取れます。
今回の攻撃の流れ(整理)
今回の攻撃の流れは、以下のように整理できます。
- 被害WebサーバーからAccessKeyが盗まれる
- 攻撃者は脅威IPアドレスから当該キーを使用
- S3に対してGetObjectを実行し、データ窃取を試行
- 脅威リストに該当し、GuardDutyがHighとして検知
Critical 判定された攻撃シーケンス
このアラートの意味
本アラートはMITRE ATT&CKにマッピングされており、
複数の戦術(攻撃)が連続して観測されたことを示しています。
MITRE ATT&CK とは
MITRE ATT&CKは、攻撃者が実際に行う行動を、
- 戦術(Tactic:目的)
- テクニック(Technique:手段)
という形で体系化したナレッジベースです。
攻撃を「点」ではなく「流れ」として理解するための指標として利用されています。
本記事では概要のみ触れますが、詳しい解説については以下の記事が分かりやすいです。
参考:
- MITRE ATT&CK とは?
https://omomuki-tech.com/archives/1372
今回のアラートに該当したMITRE戦術(Tactics)
アラートから、以下の戦術が確認されました。
- Initial Access(初期侵入)
- Credential Access(認証情報アクセス)
- Discovery(探索)
- Exfiltration(データ窃取)
- Impact(破壊/改ざん)
今回の検出内容をMITRE ATT&CKの観点で整理すると、以下のとおりとなります。
| 戦術 (Tactic) | 内 容 | テクニック (Technique) | 観測された API | 意 味 |
|---|---|---|---|---|
| Initial Access | 初期侵入 | T1078.004 | PutInventory / AssumeRole | 侵入の起点 |
| Credential Access | 認証情報アクセス | - | AssumeRole | 認証情報の悪用 |
| Discovery | 探索 | T1526, T1580 | ListBuckets / DescribeDocument | クラウド環境の探索 |
| Exfiltration | データ窃取 | T1567 | GetObject | データ窃取 |
| Impact | 破壊・改ざん | T1485, T1565 | DeleteBucket / DeleteAccountPasswordPolicy | 破壊・改ざん |
本アラートでは、侵入から破壊までの一連の攻撃プロセスが確認できたため、Criticalと評価されているようです。
最後に
セキュリティ対策は、サービスやツールを導入すれば完結するものではなく、実際のインシデントでは、わずかな兆候から状況を読み取り、適切に判断し、社内外と連携しながら素早く対応する力が求められます。そのためには、MITRE ATT&CKに代表される基本的な用語や、攻撃の流れ、背景を理解しておくことが大切になってきます。