Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집

2. 강연 중 질문하는 방법 오른쪽의 “Questions/질문” 창에 질문을 남겨주세요. 본인만 답변을 받고 싶으신 경우, (비공개)라고 하고 질문해 주시면 됩니다. 본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다. AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에 대하여 어떠한 책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다. 고지 사항(Disclaimer)

3. Agenda • Amazon Detective 개요 • 서비스 동작 방식 • 서비스 상세 소개 • 스크린 샷 데모

5. 보안 사고 발생에 활용되는 AWS 서비스들 자산 식별 보호 탐지 대응 복구 AWS Security Hub Amazon Macie 수동 조사 자동화 AWS Lambda Snapshot Archive AWS CloudTrail Amazon VPC

6. 보안 사고 조사의 어려움 조사 숙련도 부족 복잡도 증가 막대한 노이즈 시그널 비율 비용

7. Amazon Detective 신속하게 보안 사고의 원인을 분석, 조사, 규명 빌트인 데이터 수집 자동화된 분석 과정 가시화

8. Amazon Detective 주요 사용 케이스 사고 조사

9. Amazon Detective 주요 사용 케이스 탐지건 들에 대한 정탐 / 오탐 분류

10. Amazon Detective 주요 사용 케이스 사고 조사 보안 사고의 범위, 영향, 근본 원인 규정

11. 숨겨진 지표 탐색 (예방 통제) Amazon Detective 주요 사용 케이스 이 의심스러운 user agent로 부터 API 요청이 발생했었는지? 위협 리포트에 속한 이 IP주소와 작년 한해 동안 통신했던 인스턴스가 있는지?

13. Amazon Detective 동작 AWS 리소스들로부 터 원격정보 수집 활동과 컨텍스트를 가시화 데이터 분석 과정 그래프 모델 상에 계속적으로 반영

14. Detective Extraction 보안 활동 그래프 상의 엔터티 활동 내역에 대한 Insight를 제공하는 알고리즘들을 적용(예, 해당 자격증명이 과거이력이 없는 API를 호출한 건이나 비정상적인 호출 볼륨을 탐지) 소스 데이터 처리 과정 보안 활동 그래프

15. 보안 활동 그래프(Behavior Graph) AwsRole AwsUser Ec2Instance 버킷 Finding A Public Open 탐색 기 동 trigger Finding B 수 임 trigger IpAddress 할당 엔 터 티 Relationship https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html

16. 보안 활동 그래프(Behavior Graph) 엔터티 유형 주요 제공 정보 예시 AwsAccount • 해당 어카운트에서 호출된 API 요청들은? • 해당 어카운트가 사용한 user agent들은? • 어떤 ASO(autonomous system organization)에서 해당 어카운트를 이용하였는가? • 어느 지역에서 해당 어카운트가 활발히 이용되고 있었나? AwsUser • 해당 사용자가 호출한 API 요청들은? • 해당 사용자가 이용한 user agent들은? • 어느 지역에서 해당 user가 활발히 이용되고 있었나? AwsRole • 해당 Role이 호출한 API 요청들은? • 해당 Role이 이용한 user agent들은? • 어떤 ASO에서 해당 Role을 이용하였는가? • 어느 지역에서 해당 Role이 활발하게 이용되고 있었나? Finding • 가드 듀티 탐지 내역으로, finding type, origin, 탐지 내역의 발생 시간대를 추적 관리함. • 탐지 내역에 포함된 IP 주소, Role 등 부가 정보도 함께 저장됨 Ec2Instance • 해당 인스턴스와 통신한 IP 주소들은? • 해당 인스턴스가 통신에 이용한 포트들은? • 해당 인스턴스로부터의 인/아웃 바운드 트래픽 볼륨은? • 해당 인스턴스가 위치한 VPC는? IpAddress • 해당 IP 주소에서 호출된 API 요청들은? • 해당 IP 주소에서 이용된 포트들은? • 해당 IP주소를 이용했던 user, user agent는? • 해당 IP주소를 활발하게 이용했던 지역은? UserAgent • 해당 user agent에서 호출된 API 요청들은? • 해당 user agent를 이용한 user 또는 Role은? • 해당 user agent를 이용했던 IP주소는? https://docs.aws.amazon.com/detective/latest/userguide/graph-data-structure-overview.html

17. 특정 IP 주소와 인스턴스 간의 트래픽 플로우를 볼 수 있나요?

18. 멀티 어카운트 원격 정보 수집 Account User 1 User 2 User 3 AWS CloudTrail AccountUser 1 User 2 User 3 VPC Flow Logs Account User 1 User 2 User 3 VPC Flow Logs VPC Flow logs AWS CloudTrail 보안 활동 그래프 Amazon GuardDuty AWS CloudTrail Amazon GuardDuty

20. 시작하기

21. 멀티 어카운트 관리 https://github.com/aws- samples/amazon-detective- multiaccount-scripts

22. Detective를 이용한 전형적인 조사 절차 • Finding Profile

23. 비정상적인 API 호출 발생 비정상적인 API 호출 볼륨

24. API 호출 추이 변화 조사 급격한 실패건 스파이크 및 감소 추세 호출 성공건 증가 추세

25. 연관된 탐지 내역 조사 연관된 암호화폐 관련 활동 탐지건

26. 외부 IP 주소 추적 해당 IP 주소와의 인바운드 통신 조사 해당 IP 주소와의 아웃바운드 통신 조사 식별된 리모트 IP 주소들

27. Scope time 변경

28. Amazon Detective 워크플로 연동 SIEM / Alert Console Orchestration / Ticketing System

29. 가격 포함 내역 • 데이터 소스 Amazon VPC Flow Logs CloudTrail 관리 이벤트 GuardDuty 탐지건들 • 1년치 보안 활동 그래프 Price (서울리전 기준) First 1000 GB/month $2.3 / GB / 리전 Next 4000 GB/month $1.15 / GB / 리전 Next 5000 GB/month $0.58 / GB / 리전 Above 10000 GB/month $0.29 / GB / 리전 Internet Explorer 11 미 지원 Example Amazon Detective processes, 12,000 GB of data ingested from AWS CloudTrail, VPC Flow Logs, & Amazon GuardDuty findings in the US-East (N. Virginia) Region Charges = 1,000 x $2.30 (first 1,000 GB/account/region/month) + 4,000 x $1.15 (next 4,000 GB/account/region/month) + 5,000 x $0.58 (next 5,000 GB/account/region/month) + 2,000 x $0.29 (over 10,000 GB/account/region/month) = $10,380 per month

30. 지원 리전 US East (N. Virginia) US West (Oregon) South America (Sao Paulo) EU (Ireland) EU (Frankfurt) Asia Pacific (Tokyo) Asia Pacific (Sydney) Asia Pacific (Singapore) Asia Pacific (Seoul) Asia Pacific (Mumbai) EU (London) US East (Ohio) EU (Paris) EU (Stockholm) US West (N.California) Africa (Cape Town) Middle East (Bahrain) EU (Milan)

32. 클릭

33. 클릭

34. 해당 리모트 IP와의 통신 내역

35. 프로토콜 별 트래픽 볼륨 탐지 시점의 SSH 볼륨

36. 리모트 IP조사를 위해 클릭

37. 클릭 GuardDuty에 위협IP목록에 포함된 IP주소

38. 해당 IP와 연계된 IAM Role 확인 (클릭)

39. 해당 기간동안 Role을 이용하여 API 호출을 한 IP와 실행된 API 목록 확인

40. 직전 내역과 비교하여 동일 IP와 내역 임을 확인

41. 클릭

42. 해당 Role이 한 지역에서 지속적으로 동일한 API들을 호출해왔다는 것을 확인

43. 클릭

44. 클릭

45. 해당 Role과 연관된 IP를 추가 조사하기 위해 클릭

46. 클릭 해당 IP주소와 관련된 그동안의 GuardDuty 탐지 내역 è 특정 인스턴스의 이상징후 포착

47. 클릭

48. 해당 인스턴스와 통신 했던 IP들에 대해 추가조사하여 위협 IP 목록으로 처리

49. 클릭

50. 유입 트래픽 볼륨 스파이크 확인

51. 멀티 어카운트 관리 클릭

52. 연관된 IP주소 확인(클릭)

53. 해당 IP에서의 API 호출 이력 확인

54. 클릭

55. 해당 IP주소와 관련된 AWS 리소스 유무 확인

56. 멀티 어카운트 관리 연관 인스턴스 조사(클릭)

57. 현재 트래픽 볼륨 상태 확인

58. 해당 인스턴스와 연관된 GuardDuty 탐지 내역 확인 è Tor Client 등 멀웨어 조사 대상으로 판정

59. 최초 탐지 목록에서 SSH BruteForce 공격건 클릭

60. SSH Bruteforce트래픽 발생 추이

61. 클릭

62. 공격기간 끝에 특정 IP와 수상한 트래픽 발생 포착 최초 확인했던 GuardDuty 악성 IP

63. 공격기간 동안 베이스라인과 상이한 이상징후 포착

64. 조사 내역 1. i-07a01815a99dac4f1 인스턴스가 가드듀티 악성IP(18.209.14.125)와 통신 • VPC flow log 조사 - HTTP(80)트래픽 감소 확인 - 웹서버 환경 조사 필요, SSH 포트 통신 확인 2. 악성 IP(18.209.14.125)조사 - 7개월 동안의 AttackerRole과 연관성 확인. 3. AttackerRole 조사 - 생성 관련 정보 삭제 확인 - CloudTrail 로깅 조사 필요. • 외부 IP(18.212.244.30)에서 API 호출 내역 확인 - 동일한 API 호출과 일정한 호출 볼륨을 보이는 것을 토대로 스크립트 성 작업으로 추정. • 외부 IP의 API 호출 지역 확인 - 미국 동부. • 이용된 agent 목록 - EMR, CloudFormation등 이용. 의심 agent 확인됨 4. 의심 Agent 조사 • IAM 롤 3개 연관성 파악됨. - 추가 조사 대상. 5. 외부 IP조사 • 연관 탐지건에서 i-0be0810720e5b6a8c 인스턴스 관련 탐지 건 3건 확인. 6. 연관 탐지건 조사 • 토르 엔트리 노드 통신 - 리모트 IP 목록 확인 • 비정상 22번 아웃바운드 통신 - 외부 IP 식별(31.31.196.251) 추가조사에서 특별한 혐의점 없음 7. i-0be0810720e5b6a8c 인스턴스 조사 • 멀웨어, 취약점 등을 조사하기 위한 포렌식 대상으로 판정. - 추가 조사 부분 8. i-07a01815a99dac4f1 인스턴스의 마지막 탐지건 조사 - SSH 부르트포스 • 통신 IP 목록에서 최초 확인했던 가드듀티 악성 IP를 확인함. • 최종적으로 포렌식 대상으로 판정

65. 맺음말 : Amazon Detective 기대 효과 간편하게 사용하기 좋은 시각화 도구 신속하고 효율적인 조사 계속적인 데이터 업데이트에 따른 시간과 노력 절감

66. AWS 온라인 이벤트 – 클라우드 보안 특집에 참석해주셔서 대단히 감사합니다. 저희가 준비한 내용, 어떻게 보셨나요? 더 나은 세미나를 위하여 설문을 꼭 작성해 주시기 바랍니다. aws-korea-marketing@amazon.com twitter.com/AWSKorea facebook.com/amazonwebservices.ko youtube.com/user/AWSKorea slideshare.net/awskorea twitch.tv/aws

Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집

Amazon Web Services Korea

Amazon Detective를 활용하여 AWS 환경에서 보안사고 원인 분석하기 – 임기성, AWS 보안 담당 솔루션즈 아키텍트:: AWS 온라인 이벤트 – 클라우드 보안 특집