성덕이의 개발공간

계정 및 인스턴스 해킹으로 인해 유출된 자격증명 교체 및 불필요 유저 지워보도록 한다.해당 과정의 탐지는 아래 게시글에서 진행했다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com인스턴스가 해킹당하여 자격증명이 유출되었을 때참고로 4)에서 인스턴스 중지 => 인스턴스 시작을 해야 자격증명이 재갱신된다.단순히 재부팅하면 갱신되지 않는다!1) IAM -> C..

SSH Briteforce 공격을 받아 빠르게 조치를 취하는 방법에 대해 다뤄보겠다.해당 상황이 벌어졌을 때 감지하는건 다음 게시글을 참조해보자 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com누군가가 SSH BruteForce 및 비트코인을 수집하기 위해 나의 인스턴스가 해커에게 탈취된 상황1) VPC -> 네트퉈크 ACL 이동2) sir-workshop-comp..

필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com1) AWS 콘솔 -> GuardDuty 접속2) 생성한 GuardDuty -> Findings """Ex..

AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWS GuardDuty로 침입을 감지하였고, 그 결과를 AWS Security Hub를 통해 분석해보겠다.AWS Security Hub 요약 대시보드1) AWS Console 접속 -> AWS Security Hub2) Security Hub 리소스 선택 -> 왼쪽 분석 결과 클릭=> Security Hub의 대시보드가 뜨며 여러가지 항목을 살펴볼 수 있다. 1) "분석 결과" 클릭 -> 탐지 결과 목록 화면에서 "필터" 클릭2) 제품 이름 = GuardDuty -> 적용3) 공격당한 ..