Amazon GuardDutyからCrowdStrikeの障害を悪用した脅威についてアナウンスがありました
2024.07.25こんにちは、臼田です。
みなさん、GuardDutyのアップデートを追ってますか?(挨拶
今回はGuardDutyのアップデート通知などが行われるアナウンスのSNSから、最近話題のCrowdStrikeの障害を「悪用」した脅威に関する注意喚起が届きましたので共有します。
アナウンス内容
以下のjsonで通知されました。
{
"version": "1",
"type": "GENERAL",
"message": [
{
"title": "Pay increased threat awareness regarding DNS-related findings",
"body": "Amazon GuardDuty observed a trend where threat actors are setting up malicious domains to compromise organizations working on software patching related to CrowdStrike's recent sensor issue. Currently, GuardDuty is observing an uptick in Command and Control (C&C) Activity findings that correspond with domains identified in CrowdStrike CSA-240832. As a proactive measure, we strongly advise all customers to increase vigilance regarding DNS-related findings. Recommended steps include:\n1. Monitor DNS-related findings: Pay close attention to alerts such as Backdoor:EC2/ C&CActivity.B!DNS findings and Backdoor:Runtime/C&CActivity.B!DNS (if using GuardDuty's runtime protection for EKS, ECS Fargate, and EC2). They indicate potential communication with suspicious and malicious command and control (C&C) activities, which could be part of or evolve into a broader attacks targeting your workloads.\n2. Validate and evaluate findings: Get started with the GuardDuty console, API, or other preferred method to review findings promptly. Start with a finding's severity label, which would be marked as \u201cHigh\u201d for more important ones. GuardDuty continually updates its threat intelligence from CrowdStrike and other AWS internal and external sources, which helps ensure a current list of suspicious and malicious domains.\n3 Take action on suspicious activity: If the flagged activity is unexpected, your instance may be compromised. Consider quickly taking action on affected resources, conducting a thorough investigation, and remediating any identified threats. For more information, see remediating a potentially compromised Amazon EC2 instance.\nMaintaining heightened awareness and promptly responding to GuardDuty findings can help you reduce the risk of malicious actors compromising your environments. For further assistance, refer to the AWS GuardDuty documentation or contact AWS Support.",
"links": [
"https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/",
"https://docs.aws.amazon.com/guardduty/latest/ug/compromised-ec2.html",
"https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html"
]
}
]
}
要約
これをClaude 3.5 Sonnetに要約してもらうと以下のようになります。
CrowdStrikeの最近のセンサー問題に関連したソフトウェアパッチに取り組む組織を標的とした悪意のあるドメインの設定が増加しています。
GuardDutyは、CrowdStrikeが特定した危険なドメインに関連するCommand and Control (C&C)活動の検出が増加していることを報告しています。
ユーザーに対して、DNS関連の検出結果に対する警戒を強化するよう強く推奨しています。
推奨される対策:
DNS関連の検出結果を注意深く監視する
検出結果を迅速に確認し、評価する
疑わしい活動に対して迅速に対応する
これらの対策を取ることで、悪意のある攻撃者による環境の侵害リスクを軽減できる可能性があります。詳細な情報や支援が必要な場合は、AWS GuardDutyのドキュメントを参照するか、AWSサポートに連絡することを推奨しています。
背景
7/19に発生したCrowdStrike FalconのWindowsにおける障害は世界中で影響があり、多数の企業が対応をしています。
現在CrowdStrikeからPreliminary Post Incident Review (PIR)として下記詳細情報が出ていたり、
AWSからも復旧方法についてアナウンスが出ています。下記はSystems Managerを利用して復旧する手順です。
そんな中、この障害を悪用し修正パッチと称してマルウェアを実行させようとするなどの動きも観測されています。
こういった非常時こそ慎重に対応していきたいですね。
現状では上述したPIRの情報が、公式で詳細に書かれていると思いますので、こちらを中心に確認しましょう。
おまけ
GuardDutyの最新情報や機能アップデートなどを含むSNSは下記の方法でサブスクライブできますので、ぜひみなさん通知を受け取りましょう!
ちなみに今回は "type": "GENERAL" という通知タイプだったのですが、私の記憶では初めてのフォーマットです。新しい試みなのかもしれませんね。
