[AWS GuardDuty] AWS GuardDuty 활성화 및 기본적인 공격 시나리오 [T]

AWS GuardDuty를 사용하여 해당 사항을 활성화 시킨다.

1) AWS Console -> GuardDuty -> Runtime Monitoring
2) Runtime Monitoring -> Enable
3) Amazon EKS -> Enable
4) Amazon EC2 -> Enable

해당 기능을 Enable하면 EKS 및 EC2에 GuardDuty Agent를 자동으로 배포할 수 있도록 한다.

---

AWS 상에서 많이 시도되는 전형적인 침해 유형은 다음과 같다.

출처 : AWS

1. 공격자는 타겟의 정보를 수집하고 취약한 부분을 탐색하는 정탐 과정을 진행
2. 타겟 인스턴스에 로그인이 성공하면 인스턴스 탈취의 상황 진행
3. 공격자는 멀웨어를 설치하거나, 인스턴스 상의 중요 정보를 탈취
4. 해커들은 EC2 인스턴스에서 노리는 것은 인스턴스 Role에 부여된 임시 자격증명
5. 이것을 탈취하여 여기에 부여된 IAM 권한을 이용하여 AWS API들을 호출
6. AWS Account 전체를 장악

 

출처 : AWS

해당 과정으로 AWS GarudDuty를 진행해볼 수 있다.

아래 개시글을 통해 AWS GuardDuty를 활용해본다.