亚马逊AWS官方博客

在 AWS 上做好入侵检测

在AWS上做好入侵检测

      入侵检测是整个安全防御体系建设中不可缺少的一个重要环节,对于云计算用户来说,无论具体运行的服务是什么,都应该通过入侵检测来实时监控系统的运行状态。常见的入侵检测既要满足通用的安全需求,例如发现端口扫描,木马,后门,恶意探测,权限篡改等,也要满足企业自身的特殊安全需求,即与已建立的安全基线相违背的行为。除此之外,云上的入侵检测也有自己的独特要求,包括海量布署,快速迭代,安全可视和可控,可扩展性以及经济实用性。

       在上述需求越来越普遍的情况下,AWS GuardDuty应运而生,可以为用户提供完整的解决方案。Amazon GuardDuty 是一项持续的安全监控服务,通过分析VPC流日志、AWSCloudTrail管理事件日志、CloudTrailS3数据事件日志和DNS日志来检测入侵信息。VPC流日志可用来收集有关IP流量进出网络端口的信息,AWS CloudTrail对AWS基础架构中与操作相关的帐户活动执行日志记录和监控,DNS日志用来记录AWS DNS服务器接收的DNS查询。AWS GuardDuty使用威胁情报源(例如CrownStrike, 另外用户也可以上传自定义的情报源 )和机器学习来探测AWS 环境中意外的和未经授权的恶意活动。这包括了特权升级、使用遭暴露的凭证或者与恶意 IP 地址、URL 或域通信等问题。例如,GuardDuty 可检测提供恶意软件或进行比特币挖矿的受损 EC2 实例。此外,它还监控 AWS 账户访问行为是否有受损迹象,如未经授权的基础设施部署(例如,在从未使用过的区域中部署的实例)或异常的 API 调用(例如,更改密码策略以减小密码强度)。

Amazon GuardDuty会按资源类型列出的结果,这些资源类型包括EC2, S3和IAM。下表按名称、威胁目的、资源和严重性列出了所有查找类型。

查结果类型

威胁目的

RESOURCE

严重性

后门:EC2/C&CActivity.B!DNS(B!DNS)

后门

EC2

Backdoor:EC2/DenialOfService.Dns

后门

EC2

Backdoor:EC2/DenialOfService.Tcp

后门

EC2

Backdoor:EC2/DenialOfService.Udp

后门

EC2

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

后门

EC2

Backdoor:EC2/DenialOfService.UnusualProtocol

后门

EC2

Backdoor:EC2/Spambot

后门

EC2

Behavior:EC2/NetworkPortUnusual

行为

EC2

Behavior:EC2/TrafficVolumeUnusual

行为

EC2

CryptoCurrency:EC2/Bitcoin工具.B

CryptoCurrency

EC2

CryptoCurrency:EC2/BitcoinTool.B!DNS

CryptoCurrency

EC2

发现:S3/BucketEnumation.Unual

发现

S3

发现:S3/恶意IP主叫方.自定义

发现

S3

发现:S3/TorIPCaller

发现

S3

影响:EC2/端口扫描

Impact

EC2

影响:EC2/WinRMBruteForce

Impact

EC2

影响:S3/权限修改。异常

Impact

S3

影响:S3/对象删除。异常

Impact

S3

PenTest:IAMUser/KaliLinux

PenTest

IAM

PenTest:IAMUser/ParrotLinux

PenTest

IAM

PenTest:IAMUser/PentooLinux

PenTest

IAM

PenTest:S3/KaliLinux(S3/KaliLinux)

PenTest

S3

PenTest:S3/ParrotLinux

PenTest

S3

PenTest:S3/PentooLinux

PenTest

S3

Persistence:IAMUser/NetworkPermissions

持久性

IAM

*

Persistence:IAMUser/ResourcePermissions

持久性

IAM

*

Persistence:IAMUser/UserPermissions

持久性

IAM

*

Policy:IAMUser/RootCredentialUsage

Policy

IAM

Low

策略:S3/AccountBlockPublicAccessDisabled

Policy

S3

Low

策略:S3/BucketBlockPublicAccessDisabled

Policy

S3

Low

政策:S3/BucketPublicAccess授予

Policy

S3

PrivilegeEscalation:IAMUser/AdministrativePermissions

PrivilegeEscalation

IAM

*

Recon:EC2/PortProbeEMRUnprotectedPort

Recon

EC2

Recon:EC2/PortProbeUnprotectedPort

Recon

EC2

*

Recon:EC2/Portscan

Recon

EC2

Recon:IAMUser/MaliciousIPCaller

Recon

IAM

Recon:IAMUser/MaliciousIPCaller.Custom

Recon

IAM

Recon:IAMUser/NetworkPermissions

Recon

IAM

*

Recon:IAMUser/ResourcePermissions

Recon

IAM

*

Recon:IAMUser/TorIPCaller

Recon

IAM

Recon:IAMUser/UserPermissions

Recon

IAM

*

ResourceConsumption:IAMUser/ComputeResources

ResourceConsumption

IAM

*

Stealth:IAMUser/CloudTrailLoggingDisabled

Stealth

IAM

Low

Stealth:IAMUser/LoggingConfigurationModified

Stealth

IAM

*

Stealth:IAMUser/PasswordPolicyChange

Stealth

IAM

Low

Stealth:S3/ServerAccessLoggingDisabled

Stealth

S3

Low

Trojan:EC2/BlackholeTraffic

木马

EC2

Trojan:EC2/BlackholeTraffic!DNS

木马

EC2

Trojan:EC2/DGADomainRequest.B

木马

EC2

Trojan:EC2/DGADomainRequest.C!DNS

木马

EC2

Trojan:EC2/DNSDataExfiltration

木马

EC2

Trojan:EC2/DriveBySourceTraffic!DNS

木马

EC2

Trojan:EC2/DropPoint

木马

EC2

Trojan:EC2/DropPoint!DNS

木马

EC2

Trojan:EC2/PhishingDomainRequest!DNS

木马

EC2

UnauthorizedAccess:EC2/恶意IP主叫方.自定义

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/元数据DNS重新绑定

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/RDPBruteForce

UnauthorizedAccess

EC2

*

UnauthorizedAccess:EC2/SSH勒特力

UnauthorizedAccess

EC2

*

UnauthorizedAccess:EC2/客户

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/TorRelay(EC2/TorRelay)

UnauthorizedAccess

EC2

UnauthorizedAccess:IAMUser/ConsoleLogin

UnauthorizedAccess

IAM

*

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/MaliciousIPCaller

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/TorIPCaller

UnauthorizedAccess

IAM

UnauthorizedAccess:S3/恶意IP主叫方.自定义

UnauthorizedAccess

S3

UnauthorizedAccess:S3/TorIP呼叫方

UnauthorizedAccess

S3

查结果类型

威胁目的

RESOURCE

严重性

后门:EC2/C&CActivity.B!DNS(B!DNS)

后门

EC2

Backdoor:EC2/DenialOfService.Dns

后门

EC2

Backdoor:EC2/DenialOfService.Tcp

后门

EC2

Backdoor:EC2/DenialOfService.Udp

后门

EC2

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

后门

EC2

Backdoor:EC2/DenialOfService.UnusualProtocol

后门

EC2

Backdoor:EC2/Spambot

后门

EC2

Behavior:EC2/NetworkPortUnusual

行为

EC2

Behavior:EC2/TrafficVolumeUnusual

行为

EC2

CryptoCurrency:EC2/Bitcoin工具.B

CryptoCurrency

EC2

CryptoCurrency:EC2/BitcoinTool.B!DNS

CryptoCurrency

EC2

发现:S3/BucketEnumation.Unual

发现

S3

发现:S3/恶意IP主叫方.自定义

发现

S3

发现:S3/TorIPCaller

发现

S3

影响:EC2/端口扫描

Impact

EC2

影响:EC2/WinRMBruteForce

Impact

EC2

影响:S3/权限修改。异常

Impact

S3

影响:S3/对象删除。异常

Impact

S3

PenTest:IAMUser/KaliLinux

PenTest

IAM

PenTest:IAMUser/ParrotLinux

PenTest

IAM

PenTest:IAMUser/PentooLinux

PenTest

IAM

PenTest:S3/KaliLinux(S3/KaliLinux)

PenTest

S3

PenTest:S3/ParrotLinux

PenTest

S3

PenTest:S3/PentooLinux

PenTest

S3

Persistence:IAMUser/NetworkPermissions

持久性

IAM

中*

Persistence:IAMUser/ResourcePermissions

持久性

IAM

中*

Persistence:IAMUser/UserPermissions

持久性

IAM

中*

Policy:IAMUser/RootCredentialUsage

Policy

IAM

Low

策略:S3/AccountBlockPublicAccessDisabled

Policy

S3

Low

策略:S3/BucketBlockPublicAccessDisabled

Policy

S3

Low

政策:S3/BucketPublicAccess授予

Policy

S3

PrivilegeEscalation:IAMUser/AdministrativePermissions

PrivilegeEscalation

IAM

低*

Recon:EC2/PortProbeEMRUnprotectedPort

Recon

EC2

Recon:EC2/PortProbeUnprotectedPort

Recon

EC2

低*

Recon:EC2/Portscan

Recon

EC2

Recon:IAMUser/MaliciousIPCaller

Recon

IAM

Recon:IAMUser/MaliciousIPCaller.Custom

Recon

IAM

Recon:IAMUser/NetworkPermissions

Recon

IAM

中*

Recon:IAMUser/ResourcePermissions

Recon

IAM

中*

Recon:IAMUser/TorIPCaller

Recon

IAM

Recon:IAMUser/UserPermissions

Recon

IAM

中*

ResourceConsumption:IAMUser/ComputeResources

ResourceConsumption

IAM

中*

Stealth:IAMUser/CloudTrailLoggingDisabled

Stealth

IAM

Low

Stealth:IAMUser/LoggingConfigurationModified

Stealth

IAM

中*

Stealth:IAMUser/PasswordPolicyChange

Stealth

IAM

Low

Stealth:S3/ServerAccessLoggingDisabled

Stealth

S3

Low

Trojan:EC2/BlackholeTraffic

木马

EC2

Trojan:EC2/BlackholeTraffic!DNS

木马

EC2

Trojan:EC2/DGADomainRequest.B

木马

EC2

Trojan:EC2/DGADomainRequest.C!DNS

木马

EC2

Trojan:EC2/DNSDataExfiltration

木马

EC2

Trojan:EC2/DriveBySourceTraffic!DNS

木马

EC2

Trojan:EC2/DropPoint

木马

EC2

Trojan:EC2/DropPoint!DNS

木马

EC2

Trojan:EC2/PhishingDomainRequest!DNS

木马

EC2

UnauthorizedAccess:EC2/恶意IP主叫方.自定义

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/元数据DNS重新绑定

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/RDPBruteForce

UnauthorizedAccess

EC2

低*

UnauthorizedAccess:EC2/SSH勒特力

UnauthorizedAccess

EC2

低*

UnauthorizedAccess:EC2/客户

UnauthorizedAccess

EC2

UnauthorizedAccess:EC2/TorRelay(EC2/TorRelay)

UnauthorizedAccess

EC2

UnauthorizedAccess:IAMUser/ConsoleLogin

UnauthorizedAccess

IAM

中*

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/MaliciousIPCaller

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

UnauthorizedAccess

IAM

UnauthorizedAccess:IAMUser/TorIPCaller

UnauthorizedAccess

IAM

UnauthorizedAccess:S3/恶意IP主叫方.自定义

UnauthorizedAccess

S3

UnauthorizedAccess:S3/TorIP呼叫方

UnauthorizedAccess

S3

     AWS GuardDuty 为所生成的各种调查结果类型使用以下格式来告知用户:   ThreatPurpose:ResourceTypeAfected/ThreatFamilyName.ThreatFamilyVariant!Artifact。例如, DNS(DNS) 的搜索类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 表示EC2实例正在与已知的比特币相关域通信。

         值得着重关注的是AWS GuardDuty新推出了对S3的保护功能。仅需在Console界面一键点开,就可以实现对所有账号的所有S3桶的持续监控,包括访问事件,权限设置,可以检测到恶意及可疑的活动例如来自于不常见的访问地址,对数据保护措施(S3的禁止公开访问)的禁用,对非授权数据的异常访问。

         针对检测出来的事件,AWS GuardDuty会产生不同等级的告警,同时也AWS也会向用户推荐相关的纠正措施,例如修复受损的EC2实例,纠正受损的S3存储段,修复受损的ASM凭据。

       下图展示了AWS GuardDuty与不同的合作伙伴之间的结合,包括危胁情报的输入,自定义上传,也可根据检测到的事件的不同,可结合到用户的SIEM方案中,也可结合类似SLACK这样的工具实现即时的通知和告警。

本篇作者

江学森

高级安全产品经理,加入AWS之前在THALES工作,有丰富的数据加解密从业经验,在AWS主要负责安全服务的推广。