[アップデート]Amazon GuardDutyのでVPCエンドポイントを利用したクレデンシャルの悪用を検出できるようになりました

[アップデート]Amazon GuardDutyのでVPCエンドポイントを利用したクレデンシャルの悪用を検出できるようになりました

Amazon GuardDutyのUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrate.InsideAWSでVPCエンドポイントを経由した漏洩したクレデンシャルの悪用を検出できるようになりました
#Amazon GuardDuty
#AWS
#セキュリティ
臼田佳祐

臼田佳祐

facebook logohatena logotwitter logo
Clock Icon2024.11.27

こんにちは、臼田です。

みなさん、AWS上の脅威検出してますか?(挨拶

今回Amazon GuardDutyで漏洩したクレデンシャルの悪用を検出できるUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrate.InsideAWSのFinding Typeにて、VPCエンドポイントを利用した悪用も検出できるようになりました。

どいういうことか?というところから解説します。

何が変わったのか

まずUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrate.InsideAWSのFinding Type(以下InsideAWS)について紹介します。

001_InsideAWS_enhance

InsideAWSはEC2にアタッチされているIAM Roleの一時的なクレデンシャルが、SSRFなどの攻撃手法によって漏洩し、そのクレデンシャルが別のAWSアカウントから悪用された場合に検出してくれます。

漏洩したクレデンシャルが悪用されたことに気づけるため、非常に大事なタイプです。

以前はUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrateという検出タイプのみで、これは現在だとUnauthorizedAccess:IAMUser/InstanceCredentialExfiltrate.OutsideAWSであり、AWSの外部で利用された場合のみ検出できていました。下記ブログのタイミングで攻撃者のAWSアカウントなど、別のAWSアカウントからの悪用も検出されるようになりました。

https://dev.classmethod.jp/articles/guardduty-detect-exfiltration-ec2-credentials-inside/

しかし、それでもこれまでは攻撃者のAWSアカウントでVPCエンドポイントを利用した悪用の場合にはGuardDutyが検出できないという問題がありました。

002_InsideAWS_enhance

今回VPCエンドポイントを利用した悪用でも検出できるようになりました。

強化内容

アップデートの詳細はHistoryには以下のように書かれています。

GuardDuty は、UnauthorizedAccess:IAMUser/InstanceCredentialExfiltrate.InsideAWS検出タイプを拡張して、Amazon EC2 インスタンスロールに関連付けられていない AWS アカウントの VPC エンドポイント (AWS PrivateLink) からの Amazon EC2 インスタンス AWS 認証情報の使用を検出します。この新しい GuardDuty 機能は、潜在的な Amazon EC2 インスタンス認証情報の不正使用を検出し、漏洩セッション認証情報を使用しているリモート AWS アカウントのコンテキストを提供します。この新しい検出でサポートされる AWS サービスエンドポイントの詳細については、 AWS CloudTrail ユーザーガイドの「ネットワークアクティビティイベントのログ記録」を参照してください。

先日AWS CloudTrailでVPC Endpointのネットワークアクティビティイベントのログ記録ができるようになりました。

https://dev.classmethod.jp/articles/cloudtrail-vpc-endpoint-network-activity-logging-update/

この機能で記録できる通信についてAmazon GuardDutyで検出できるようになったようです。そのため、この機能が記録できるAWSサービスのみがInsideAWSでの検出範囲となることには注意が必要です。現時点では以下がサポートされています。

  • AWS CloudTrail
  • Amazon EC2
  • AWS Key Management Service (KMS)
  • AWS Secrets Manager

やってみた

実際にクレデンシャルを漏洩させて、別のAWSアカウントから操作してみましょう。ちなみに最近だとIMDSもv2である環境が多いと思うので、以下が参考になります。

https://dev.classmethod.jp/articles/ec2-credentials-exfiltration-oneliner-v2/

セットアップや細かい漏洩手順などは割愛します。

なお、本機能を利用するためにAWS CloudTrailでVPC Endpointのネットワークアクティビティイベントのログ記録設定などは不要です。追加の設定なく検出可能です。

攻撃すると無事検出が上がりました。

003_InsideAWS_enhance

これまでのInsideAWSとは違いVPCエンドポイントを利用した検出のため、ActorのIPアドレスがローカルIPになっています。その影響からか、Location情報などもUNKNOWNになっていますね。

004_InsideAWS_enhance

まとめ

これまで検出できなかった悪用が検出できるようになった非常に頼もしいアップデートでした。

まだ対応できるAWSサービスが少ないですが、カバレッジを広げてほしいですね。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]Amazon GuardDutyのEC2ランタイム保護でRedHat/CentOS/Fedoraをサポートしました

[アップデート]Amazon GuardDutyのEC2ランタイム保護でRedHat/CentOS/Fedoraをサポートしました

User avatar
臼田佳祐
2024.11.27
GuardDuty で UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS が発報された時の確認ポイント

GuardDuty で UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS が発報された時の確認ポイント

User avatar
m.hayakawa
2024.11.22
EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

EC2インスタンスメタデータv2からワンライナーでクレデンシャルを取得してみた

User avatar
臼田佳祐
2024.10.29
[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!

User avatar
べこみん
2024.10.27
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.