필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.
AWS GuardDuty에서 어떻게 탐지되는지 확인해보자.
해당 환경에서 이어서 진행한다.
[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]
AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이
seongduck.tistory.com
1) AWS 콘솔 -> GuardDuty 접속
2) 생성한 GuardDuty -> Findings
"""
Execution:Runtime/ReversShell 탐지
"""
자세한건 JSON을 통해 살펴볼 수 있다.
Malware Protection 기능
- AWS GuardDuty에서 Malware에 기반한 침해 행위가 탐지
- 탐지될 경우, 해당 EC2의 EBS 볼륨을 스냅샷 생성하고 GuardDuty 내부에서 해당 볼륨을 restore하여 파일시스템 상에 존재하는 Malware를 탐지
