계정 및 인스턴스 해킹으로 인해 유출된 자격증명 교체 및 불필요 유저 지워보도록 한다.
해당 과정의 탐지는 아래 게시글에서 진행했다.
[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]
AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이
seongduck.tistory.com
- 인스턴스가 해킹당하여 자격증명이 유출되었을 때
참고로 4)에서 인스턴스 중지 => 인스턴스 시작을 해야 자격증명이 재갱신된다.
단순히 재부팅하면 갱신되지 않는다!
1) IAM -> Compromised host EC2 Role 콘솔 이동 -> 해당 IAM role 선택
2) "세션 취소" -> "활성 세션 취소" 클릭 -> "활성 세션 취소" 클릭
3) 임시 자격증명을 무효화 했으므로 더이상 API 호출은 거부된다.
4) 해당 서버를 재시작하여 임시 자격증명을 재발급 받는다. #자격증명이 털렸으므로 교체
해당 계정으로 만들어진 S3 및 계정은 제거한다.