AWS CloudTrail이란?
- AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스
- 모든 API 요청을 기록
누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자
해당 환경에서 이어서 진행
[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]
AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를
seongduck.tistory.com
AWS CloudTrail 접속
1) AWS Console -> AWS CLoudTrail -> 해당 대시보드 선택
2) "로깅 시작" 클릭
1) 인스턴스 탈취 내역 및 IAM Role 자격증명 유출 확인
직전에 진행했던, Inspector 조사에서 IAM API 호출도 있었던 것을 확인했었다.
1) CloudTrail 접속 -> CloudTrail 이벤트 기록
2) 이벤트 기록 -> 이벤트 이름 = CreateUser
3) 상세 내역 확인 -> 오류 코드 = -
#오류 코드가 빈값이므로 해당 호출이 성공했다는 점을 확인할 수 있다.
해당 화면에서 "소스 IP 주소"와 "사용자 이름"을 실제 나의 AWS Console에서 확인해본다.
필자는 다르다! 이유는?
- 동일 인스턴스가 아니기 때문이다! 즉, 해당 자격증명이 유출되었다는 또 다른 증적이 된다.
2) AWS Account 탈취하여 IAM user 생성한 내역 확인
1) 해당 화면 아래로 내려서 "이벤트 레코드"의 "로그내용"을 확인
"""
requestParameters -> UserName 확인 #헤커가 임의로 만든 ID명이다.
"""
2) 위로 올려 "참조 리소스" 확인
위의 화면처럼 뜬다.
해당 이름의 AWS Config 리소스 타임라인 보기를 클릭하여 AWS Config가 기록한 해당 유저의 타임라인 정보를 확인한다.
=> CreateUser 이벤트가 먼저 발생한 것을 확인할 수 있음
3), 4) IAM user Accesskey 페어 생성 및 IAM user 권한 상승 내역 확인
1) CloudTrail 이벤트 기록 -> CreateAccessKey 이벤트 조회 콘솔로 이동
2) CreateAccessKey 클릭 -> "이벤트 레코드" 확인
"""
responseElements의 accessKeyId 값 복사
"""
#추가 조회를 위해 필요
3) CloudTrail 이벤트 기록 -> 속성 조회
4) AWS 액세스 키 = "위에서 복사한 AccessKeyID" 선택
5) 해당 이벤트 클릭 -> "이벤트 레코드" 확인
"""
requestParameters의 bucketName 확인
"""
6) 해당 bucketName을 가지고 있는 S3 생성 확인
7) CloudTrail 이벤트 기록 -> 속성 조회
8) 이벤트 이름 = AttachUserPolicy 선택
9) 해당 이벤트 클릭
참조 리소스를 보면 arn:aws:iam::aws:policy/AdministratorAccess를 확인할 수 있는데 이는
IAM Policy가 attach되는데 성공했다는 것을 알 수 있다.
=> 즉, proxy_user가 AWS 관리자 권한을 부여받았음을 확인할 수 있다.
정리하자면 위와 같은 단계를 통해 해당 과정을 확인했다.
| 인스턴스 탈취 | IAM Role 자격증명 유출 | sir-workshop-compromised-ec2 |
| AWS 어카운트 탈취 | IAM user 생성 | proxy_user - 콘솔 사용 이력 없음 |
| IAM user Accesskey 페어 생성 | 상기 4번에서 식별된 {AccessKeyId} - S3 Bucket 생성이력 확인 | |
| IAM user 권한 상승 | proxy_user - AdministratorAccess 권한 부여 |