Cloud Infra Architecture (AWS)/AWS Build 86

[AWS SecurityHub] AWS EKS Service Account 토큰 탈취시 조치 방법 [T]

해당과정에서 검출된 EKS Account 토큰 탈취에 대해 조치를 취해보겠다. [AWS SecurityHub] AWS GuardDuty를 통한 Runtime 탐지 조사하기 [T]필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS Guseongduck.tistory.com공격자는 탈취한 EC2의 자격증명을 이용하여 EKS Pod에서 사용하는 Service Account를 탈취 후 Secret에 대한 접근까지 가능공격자는 Pod에 접근 시 kubectl exec 명령을 사용하여 Pod에 배포된 Container에 She..

[AWS SecurityHub] AWS 인스턴스에 침투한 CVE 취약점 해결 및 조치 방법 [T]

해당과정을 통해 CVE 취약점을 발견했다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를seongduck.tistory.comAWS Inspector와 AWS CloudWatch로 해당 정황을 파악했다.해킹당한 서버에 Session Manager로 붙기 (패치)패치를 적용하기 위해 잠시 서버에 접근할 수 있도록 환경을 변경해보자.1) VPC -> 네트워크 ACL -> 해당 서브넷을 ..

[AWS SecurityHub] 인스턴스 및 계정이 해킹당해 자격증명이 유출되었을 때 조치 [T]

계정 및 인스턴스 해킹으로 인해 유출된 자격증명 교체 및 불필요 유저 지워보도록 한다.해당 과정의 탐지는 아래 게시글에서 진행했다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com인스턴스가 해킹당하여 자격증명이 유출되었을 때참고로 4)에서 인스턴스 중지 => 인스턴스 시작을 해야 자격증명이 재갱신된다.단순히 재부팅하면 갱신되지 않는다!1) IAM -> C..

[AWS SecurityHub] AWS GuardDuty로 침입 감지한(SSH BruteForce) 로그를 경감조치 (자동 조치 취하기) [T]

SSH Briteforce 공격을 받아 빠르게 조치를 취하는 방법에 대해 다뤄보겠다.해당 상황이 벌어졌을 때 감지하는건 다음 게시글을 참조해보자 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com누군가가 SSH BruteForce 및 비트코인을 수집하기 위해 나의 인스턴스가 해커에게 탈취된 상황1) VPC -> 네트퉈크 ACL 이동2) sir-workshop-comp..

[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 취약한 이미지 배포 결과 확인 [T]

AWS ECR Repositoy에 Image가 배포되면 취약점 Scanning을 시작한다.해당 기능은 ECR Repository의 Enhanced Scanning인데, Amazon Inspector와 통합된 기능이다.따라서 Amazon Inspector에서도 해당 기능을 확인할 수 있다1) AWS Console 접속 -> Amazon Inspector 메뉴2) 좌측 "By Container repository" 선택이미지 레이어별로 취약점을 확인할 수 있다.

[AWS SecurityHub] AWS GuardDuty를 통한 Runtime 탐지 조사하기 [T]

필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com1) AWS 콘솔 -> GuardDuty 접속2) 생성한 GuardDuty -> Findings """Ex..

[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]

AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를seongduck.tistory.comAWS CloudTrail 접속1) AWS Console -> AWS..

[AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]

AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고해당 과정을 통해 SSH Bruteforce 공격 탐지 및 CVE 취약점 감지  해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com 우선 AWS SecurityHub에서 Inspector로 필터를 넣어 확인한다.1) ..

[AWS SecurityHub] AWS GuardDuty로 침입 감지한(SSH BruteForce) 로그를 AWS Security Hub를 통해 탐지 [T]

AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWS GuardDuty로 침입을 감지하였고, 그 결과를 AWS Security Hub를 통해 분석해보겠다.AWS Security Hub 요약 대시보드1) AWS Console 접속 -> AWS Security Hub2) Security Hub 리소스 선택 -> 왼쪽 분석 결과 클릭=> Security Hub의 대시보드가 뜨며 여러가지 항목을 살펴볼 수 있다. 1) "분석 결과" 클릭 -> 탐지 결과 목록 화면에서 "필터" 클릭2) 제품 이름 = GuardDuty -> 적용3) 공격당한 ..

[AWS GuardDuty] AWS GuardDuty 활성화 및 기본적인 공격 시나리오 [T]

AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.1) AWS Console -> GuardDuty -> Runtime Monitoring2) Runtime Monitoring -> Enable3) Amazon EKS -> Enable4) Amazon EC2 -> Enable해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에..