【GuardDuty】IAMの検出タイプの詳細と対応方法をまとめてみた

記事タイトルとURLをコピーする

こんにちは。AWS CLIが好きな福島です。

はじめに

今回は、以下のブログに続きGuardDutyのIAMの検出タイプについて、調査したため、ブログに記載いたします。

blog.serverworks.co.jp

参考

GuardDuty IAM 検出結果タイプ - Amazon GuardDuty

GuardDutyとは

GuardDutyとは、脅威検出サービスと呼ばれており、以下のリソースに対する脅威を検出してくれます。

  1. EC2
  2. IAM
  3. S3
  4. Kubernetes

また、脅威を検出するために以下のログを用います。

  1. AWS CloudTrail イベントログ
  2. AWS CloudTrail 管理イベント
  3. S3 の AWS CloudTrail データイベント
  4. Kubernetes 監査ログ
  5. VPC フローログ
  6. DNS ログ

IAMの検出タイプについて

概要

まず、GuardDutyの検出タイプは以下の通りの記載となります。

種類:サービス名/検出識別子

※上記はドキュメントに記載がある訳ではなく、私が勝手につけた名前となります。

以下の例の場合、種類がCredentialAccessでサービス名がIAMUser、検出識別子がAnomalousBehaviorとなります。

CredentialAccess:IAMUser/AnomalousBehavior

また、今回はIAMの検出タイプに関する内容をまとめるため、サービス名は全てIAMUserとなりますが、 サービス名がIAMUserの中でも、種類は以下の通り、複数存在いたします。

  1. CredentialAccess
  2. DefenseEvasion
  3. Discovery
  4. Exfiltration
  5. Impact
  6. InitialAccess
  7. PenTest
  8. Persistence
  9. Policy
  10. PrivilegeEscalation
  11. Recon
  12. Stealth
  13. UnauthorizedAccess

今回もEC2と同様に種類ごとに各検出タイプの詳細を記載しようと考えておりましたが、記載しづらかったため、以下の通り分類いたしました。

  1. AnomalousBehavior(検出識別子)
  2. PenTest(種類)
  3. Recon(種類)
  4. UnauthorizedAccess(種類)
  5. その他

全体

1. AnomalousBehavior(検出識別子)

AnomalousBehaviorは、GuardDuty の異常検出機械学習 (ML) モデルによって異常と判断されたAPIリクエストが検出されます。

検出タイプの概要は以下の通りとなりますが、APIによって検出タイプの種類が異なるため、以下に種類ごとに詳細を記載いたします。
※攻撃者の攻撃手法や戦術を分析して作成された「MITER ATT&CK(マイターアタック)」という概念が基になっているようです。

1.1. Exfiltration:IAMUser/AnomalousBehavior

攻撃者がデータを奪う際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。 また、管理イベントに分類されるAPIが対象で一般的にS3、スナップショット、データベースに関連しております。

  • PutBucketReplication
  • CreateSnapshot
  • RestoreDBInstanceFromDBSnapshot
    etc

1.2. Impact:IAMUser/AnomalousBehavior

攻撃者がユーザーのアカウント内のデータを操作、中断、破壊する際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • DeleteSecurityGroup
  • UpdateUser
  • PutBucketPolicy
    etc

1.3. CredentialAccess:IAMUser/AnomalousBehavior

攻撃者がユーザー環境のパスワード、ユーザー名、およびアクセスキーを収集する際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • GetPasswordData
  • GetSecretValue
  • GenerateDbAuthToken

1.4. DefenseEvasion:IAMUser/AnomalousBehavior

攻撃者が攻撃の証跡を隠すために利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。 このカテゴリの API は削除、無効化、停止関連のオペレーションです 。

  • DeleteFlowLogs
  • DisableAlarmActions
  • StopLogging
    etc

1.5. InitialAccess:IAMUser/AnomalousBehavior

攻撃者が不正アクセスをする際に利用される際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • GetFederationToken
  • StartSession
  • GetAuthorizationToken
    etc

1.6. Persistence:IAMUser/AnomalousBehavior

攻撃者がユーザーの環境へのアクセスを獲得し、そのアクセスを維持しようとする際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • CreateAccessKey
  • ImportKeyPair
  • ModifyInstanceAttribute
    etc

1.7. PrivilegeEscalation:IAMUser/AnomalousBehavior

攻撃者が環境へのより高いレベルの許可を取得しようとする際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • AssociateIamInstanceProfile
  • AddUserToGroup
  • PutUserPolicy
    etc

1.8. Discovery:IAMUser/AnomalousBehavior

攻撃者が攻撃対象を選定する際に利用される際に利用される以下のAPIがMLモデルにより異常と判断された場合に検出されます。

  • DescribeInstances
  • GetRolePolicy
  • ListAccessKeys
    etc

2. PenTest(種類)

EC2 インスタンスの脆弱性を特定してパッチを適用するために使う侵入テストツールが稼働するマシンからAPIコールがあったこと検出してくれます。

具体的には、Kali Linux、Parrot Security Linux 、Pentoo Linuxといった侵入テストツールとなり、 攻撃者がこれらのツールを利用して EC2 設定の脆弱性を探り出し攻撃するために利用するケースがあります。

  1. PenTest:IAMUser/KaliLinux
  2. PenTest:IAMUser/ParrotLinux
  3. PenTest:IAMUser/PentooLinux

3. Recon(種類)

悪意あるIPからリスト系などのAPIコールがあったことを検出してくれます。

後述するUnauthorizedAccessにもMaliciousIPCallerという検出識別子が存在しますが、 ReconのMaliciousIPCallerは、盗んだ認証情報を使い、より重要な認証情報を見つけたり、 入手した認証情報の機能を特定する際に利用されるリスト系などのAPI操作をした場合に検知されます。

  1. Recon:IAMUser/MaliciousIPCaller
  2. Recon:IAMUser/MaliciousIPCaller.Custom
  3. Recon:IAMUser/TorIPCaller

4. UnauthorizedAccess(種類)

EC2専用の認証情報が外部から利用された世界中でコンソールログインが複数確認されたおよび悪意あるIPからCREATE系などのAPIコールがあったことを検出してくれます。

  1. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
  2. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
  3. UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
  4. UnauthorizedAccess:IAMUser/MaliciousIPCaller
  5. UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
  6. UnauthorizedAccess:IAMUser/TorIPCaller

5. その他

ルートの認証情報が使われた、CloudTrailのログ記録がオフになったおよびアカウントのパスワードポリシーが弱化されたことを検出してくれます。

  1. Policy:IAMUser/RootCredentialUsage
  2. Stealth:IAMUser/CloudTrailLoggingDisabled
  3. Stealth:IAMUser/PasswordPolicyChange

アラートの対応方法

基本的にアラートを検出した場合は、クレデンシャルが漏洩している可能性があるため、検出したAPI操作が正当な操作であることを確認します。 正当でないことを確認した場合は、クレデンシャルの無効化を実施することになるかと存じます。

また、アラートが発生しない(クレデンシャルが不正利用されない)ように以下も大切です。

  • クレデンシャルが漏洩した場合でも影響を抑えるためにMFAの設定を有効化しておく
  • IAMの定期的な棚卸をする
  • IAMの権限は最小権限にする

なお、EC2のIAMロールの一時キーが奪取され不正利用されるケースもあり得るかと存じますため、 EC2のIMDSv2のみを有効化するであったり、EC2を直接外部に公開するのではなく、WAFやELBを導入することも大切かと存じます。

終わりに

今回は、GuardDutyのIAMの検出タイプについてまとめてみました。
どなたかのお役に立てれば幸いです。

福島 和弥 (記事一覧)

2019/10 入社

AWS CLIが好きです。