AWSでコインマイニングされた原因をRadware CNPのフロー図でわかりやすく調査してみた

複雑に分岐する攻撃フローをめちゃくちゃわかりやすい図にして、コインマイニングの原因を特定することができます。
2021.08.26

こんにちは、臼田です。

みなさん、AWS上のインシデント調査捗ってますか?(挨拶

前回に引き続きインシデント調査がちょー捗るRadware Cloud Native Protectorの紹介です。

今回はコインマイニングの調査です。まずは以下をご覧ください。

はい、完全に理解できましたね(適当

細かい解説は後ほどしますが、つまりこれを使えば何が起きたか一発でわかるということです。

前回の記事は以下です。Radware CNPの説明などは今回省きますので、初見さんは先にこちらをどうぞ。

概要

Radware Cloud Native Protectorは良くないAWSの設定を検知するいわゆるCSPM機能と実際に発生した脅威をCloudTrailやVPC Flow Logsから検知して可視化、イベントをまとめて攻撃をフロー図にしてくれるThreat Detection機能があります。

そして、Threat Detectionは実際の脅威が発生しないと有効性を確認しづらいので、CNPにはAttack Simulationという攻撃をテストする機能があります。今回はその中のCrypto miningを使い効果を確認します。

やってみた

それではやっていきます。前回も書きましたが、CNPのトライアルやAttack Simulation機能の利用はお問い合わせが必要です。こちらからどうぞ。

CNPのポータルにアクセスしてログインし、Attack SimulationからCrypto miningの「View Simulation」で内容を確認します。

説明のため画面を翻訳してお見せします。概要には複数のインスタンスを立ててXmrigコインマイナーを利用したマイニングが実行されます。

流れとしてはそれだけのシンプルなものですね。このSimulationの本趣旨は冒頭のフロー図のように派生した攻撃の元を簡単に確認できるところにあると私は思います。

それでは実行します。動かすサブネットを指定して「RUN」を押します。

真ん中の色が変わるシークバーがいい感じに動いて進みます。

6分ぐらいで完了しました。しばらくしたらアラートとしても検知するので「GO TO ALERT」ボタンで詳細を確認します。

ちょっと引き気味に全体像のキャプチャです。3台のEC2がマイニングしているのですが、その派生元が左にある1つのIAM Userであることが一発でわかります。関連しているIAMやEC2の一覧などもありますが、圧倒的にフロー図が役に立ちますね。AWSのサービスだけで調査をしていく場合、例えばGuardDutyは一番右のコインマイニングは検知できますがその手前は検知できない可能性があり、Detectiveなどでログを確認しながら左へたどっていく感じです。それがCNPでは一発…圧倒的!

今回は分岐前、ハイリスクAPIが不自然に早く実行されていることも攻撃の予兆として拾われていました。

そして肝心の分岐箇所。今回はもともとのIAM Userが立て続けにEC2を3つ作成しています。作成されたEC2ごとにどのような行動をとったかが一発で見れるのが嬉しいですね。今回はどれも同じくコインマイニングですが。

マイニングの詳細を確認すると通信先やEC2にアタッチされたIAM Roleなどが確認できます。

まとめ

Radware CNPを利用してコインマイニングの調査をしました。フロー図が圧倒的にわかりやすく調査が捗りますね。

特に今回は複数の分岐があるケースを確認しました。実際のインシデントは複雑なことも多いですから、これを適切に図にしてくれるのは非常に強いですね。見れば一発で何から事象が起きているか確認できるので対応も素早く出来るでしょう。

ぜひ皆さんも試してみてください。