GuardDutyのEC2タイプFindingsを簡単に検知させる方法 – CryptoCurrency編

GuardDutyでEC2タイプのFindingsを検知する方法としてコインマイニングに関する検知を行うコマンドを紹介します。簡単で安全に検知のテストができると思います。
2021.02.27

こんにちは、臼田です。

みなさん、GuardDuty使ってますか?(挨拶

今回はGuardDutyで検知テストを行う際に簡単に使える手法を紹介します。

前置きですが、GuardDutyのFindings検知の仕組みは公開されていませんので、以下の内容は実際に検知した結果をもとにしていますが必ず検知するとは限らないのでご了承ください。

CryptoCurrency:EC2/BitcoinTool.B!DNS

対象とするFindingsはCryptoCurrency:EC2/BitcoinTool.B!DNSです。

これはコインマイニングに関するドメインの名前解決を行っている場合に検知するFindingsです。ドキュメントはこちらを参照してください。

検知はメチャクチャ簡単です。EC2を起動して、以下のコマンドを実行します。

nslookup pool.supportxmr.com

対象のドメインをnslookupするだけです。

このドメインはモネロのマイニングプールの1つです。一応これ自体は正規なものなのでアクセスしても大丈夫だと思います。

実際に検知した状態は以下の通りです。DNSのリクエストが検知されていて、対象のドメインも確認できます。

地味に追加情報のところで、どこが持っている脅威情報かわかりますね。今回はAmazonとProofPointが持っている脅威情報のようです。

他のドメインなどでも同じように利用することが可能だと思います。

CryptoCurrency:EC2/BitcoinTool.B

ちなみに該当ドメインにcurlでアクセスするとCryptoCurrency:EC2/BitcoinTool.Bが検知されます。

$ curl pool.supportxmr.com
Mining Pool Online

検知した結果は以下の通り。

検知しているIPはnslookupした結果のIPの1つです。

まとめ

簡単にEC2のFindingsを検知するための方法を紹介しました。テストがはかどりますね。

ちなみにIAMタイプを検知させたい場合は以下を利用してください。