[AWS SCS] 침해된 AWS 자원과 크리덴셜

침해된 AWS 자원

 

침해된 EC2 인스턴스

침해된 인스턴스를 해결하는 단계

- 인스턴스의 메타데이터 캡쳐

- Termination Protection 활성화 (EC2 인스턴스가 의도치 않게 종료되는 것을 방지하는 기능)

- 인스턴스 고립시키기 (아웃바운드 트래픽 불가능하게 보안그룹 변경)

- 오토 스케일링 그룹에서 인스턴스 제거 (프로세스들을 중지시킴)

- ELB에서 인스턴스 등록 해제

- 심도있는 분석을 위해 EBS 볼륨 스냅샷

- EC2 인스턴스 태그하기 (ex. investigation ticket)

 

오프라인 조사 : 인스턴스 셧다운

온라인 조사 : 스냅샷 메모리, 네트워크 트래픽 캡쳐

 

고립 프로세스 자동화 : 람다

자동 메모리 캡쳐 : SSM Run Command

 

침해된 S3 버킷

- GuardDuty를 사용해 침해된 S3 버킷을 식별

- CloudTrail과 Detective를 통해 의심 행위의 출발지를 식별

- API 콜을 발생시킨 출발지의 인증 여부 파악

- 권장 설정을 통해 S3 버킷 보안성 향상

-- S3 블록 퍼블릭 접근 세팅, S3 버킷 정책과 유저 정책, S3를 위한 VPC 엔드포인트, S3 Presigned URL (S3에서 객체를 안전하게 업로드하거나 다운로드할 수 있도록 임시 URL을 생성하는 방식), S3 액세스 포인트, S3 ACL

 

침해된 ECS 클러스터

- GuardDuty를 사용해 영향을 받은 ECS 클러스터 식별

- 의심스러운 행동의 출발지 식별

- 영향을 받은 클러스터 고립 (보안그룹 사용해 인그레스/아웃그레스 트래픽 모두 차단)

- 의심스러운 행동 평가

 

침해된 Standalone 컨테이너

- GuardDuty 사용해 의심스러운 컨테이너 식별

- 의심스러운 컨테이너 고립 (보안그룹 사용해 인그레스/아웃그레스 트래픽 모두 차단)

- 컨테이너 내의 모든 프로세스 중단 (컨테이너 일시정지)

- 또는 컨테이너를 중지시키고 GuardDuty에 있는 EBS 스냅샷 확인

- 악성 활동 평가

 

침해된 RDS 데이터베이스 인스턴스

- GuardDuty 통해 영향받은 DB 인스턴스와 DB 사용자 식별

- 정상 통신이 아닐 시 네트워크 액세스 제한 (보안그룹, nACL)

- 또한 의심되는 DB 사용자의 DB 접근 제한

- 의심 사용자의 패스워드 변경

- 유출된 데이터 식별하기 위해 DB 감사로그 확인

- 권장 설정을 통해 RDS DB 인스턴스 보안성 향상

-- DB 패스워드 변경을 위해 Secrets Manager 사용

-- 패스워드 없는 DB 사용자들의 접근을 관리하기 위해 IAM DB 인증 사용

 

침해된 AWS 크리덴셜

- GuardDuty 사용해 영향받은 IAM 계정 식별

- 노출된 AWS 크리덴셜 변경

- STS Date Condition과 같은 조건으로 의심되는 IAM 사용자에게 명시적 거부 정책을 통해 임시 자격증명 무효화

- CloudTrail 로그를 통해 인증받지 않은 활동 탐지

- AWS 자원 리뷰하기 (허가되지 않은 자원 삭제)

- AWS 계정 정보 확인

 

침해된 IAM Role

- STS Date Condition과 같은 조건으로 의심되는 IAM 사용자에게 명시적 거부 정책을 통해 임시 자격증명 무효화

- 연결된 Active Directory와 관련된 접근권한 회수

- CloudTrail 로그 확인

- AWS 자원 리뷰하기 (허가되지 않은 자원 삭제)

- AWS 계정 정보 확인

 

침해된 AWS 계정

- 노출된 AWS 액세스 키 삭제 및 변경

- 인증받지않은 IAM 유저 크리덴셜 삭제 및 변경 (존재하는 IAM 유저들의 패스워드 변경)

- EC2 키 페어 변경 및 삭제

- CloudTrail 로그 확인

- AWS 자원 리뷰하기 (허가되지 않은 자원 삭제)

- AWS 계정 정보 확인