GuardDutyが新しくDoS攻撃に加担しているEC2を検知できるようになりました

こんにちは、臼田です。

GuardDutyは脅威検知のサービスですが、AWSが自動的に新しい脅威検知ルールをサポートしてくれます。

その新しいルールは下記の仕組みでSNSから受信することが可能です。

GuardDutyの機能強化通知を受け取ろう

今回も新しいルールが追加されたので紹介します。

DoS攻撃に使われている可能性を検知

DoSを受けている方ではなく、攻撃している時に検知するルールが追加されました。ちなみに受けている場合にはAWS Shield等で防いでくれるでしょう。

下記5つが追加されました。

  • Backdoor:EC2/DenialOfService.Tcp
  • Backdoor:EC2/DenialOfService.Udp
  • Backdoor:EC2/DenialOfService.Dns
  • Backdoor:EC2/DenialOfService.UdpOnTcpPorts
  • Backdoor:EC2/DenialOfService.UnusualProtocol

詳細はこちらにありますが、簡単に説明するとEC2インスタンスがTCP、UDP、DNS、TCPポート上でのUDP、異常なプロトコルで大量のアウトバウンド通信をしているときに検知するようです。

もしこの内容を検知した場合の対策はこちらに詳細があり、インスタンスの調査や削除、新しいインスタンスでのセキュリティ強化が推奨されています。

調査の際にはssm-aquire等のツールを利用するといいでしょう。

フォレンジックツールのSSM Acquireを使ってみた #reinvent

まとめ

今回はGuardDutyが新しく対応したルールについて紹介しました。

自動的にどんどん強くなる脅威検知サービスであるGuardDutyはとても頼もしいですね。

是非活用していくと共に、何かあった際の対処方法や参照先のドキュメントはきちんと抑えておきましょう!