Amazon EC2 인스턴스에 대한 GuardDuty UnauthorizedAccess 무차별 대입 결과 유형 알림을 받은 이유는 무엇입니까?

최종 업데이트 날짜: 2020년 12월 7일

Amazon GuardDuty서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 UnauthorizedAccess:EC2/RDPBruteForce 또는 UnauthorizedAccess:EC2/SSHBruteForce 결과 유형에 대한 알림을 감지했습니다.

간략한 설명

무차별 대입 공격은 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다. 자세한 내용은 유형 찾기를 참조하세요.

해결 방법

다음 지침에 따라 GuardDuty 결과 유형 설명, 결과 ID 및 감지기 ID를 보고 무차별 대입 공격에 대한 세부 정보를 확인합니다.

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

GuardDuty 결과 유형 설명 확인

지침에 따라 GuardDuty 결과를 보고 분석합니다.

결과 세부 정보 창에서 다음과 비슷한 결과 유형의 제목을 기록합니다.

"198.51.100.0 is performing RDP brute force attacks against i-99999999. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.(198.51.100.0이 i-99999999에서 RDP 무차별 대입 공격을 수행하고 있습니다. 무차별 대입 공격은 RDP 암호를 추측하여 인스턴스에 대한 무단 액세스 권한을 확보하는 데 사용됩니다.)"

이 예제에서 설명은 영향을 받는 Amazon EC2 인스턴스, 무차별 대입 공격의 방향 및 IP 주소를 나타냅니다.

GuardDuty 결과 ID 및 감지기 ID 확인

1.    GuardDuty console을 엽니다.

2.    탐색 창에서 [Findings(결과)]를 선택합니다.

3.    [Finding type(결과 유형)]에서 [UnauthorizedAccess] 결과 유형을 선택합니다.

4.    결과 유형 세부 정보 창에서 [Finding ID(결과 ID)]를 선택합니다.

5.    [Findings JSON(결과 JSON)]에서 GuardDuty 결과 및 감지기 ID를 기록합니다.

6.    다음 AWS CLI 명령을 실행합니다.

참고: your-detector-idyour-findings-id를 GuardDuty 감지기 및 결과 ID로 바꿉니다.

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

그러면 다음과 유사한 출력이 나타납니다.

[
    "INBOUND"
]

7.    다음 AWS CLI 명령을 실행합니다.

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

그러면 다음과 유사한 출력이 나타납니다.

[
    "198.51.100.0"
]

이 예제에서 Amazon EC2 인스턴스 보안 그룹은 SSH/RDP 트래픽을 허용하며 퍼블릭에 공개되어 있습니다.

이 문제를 완화하기 위해 Amazon EC2 인스턴스에 액세스할 권한이 있는 IP 주소 집합에 대해서만 SSH/RDP 트래픽을 제한할 수 있습니다.

SSH 트래픽을 제한하려면 Linux 인스턴스에 인바운드 SSH 트래픽에 대한 규칙 추가를 참조하세요.

RDP 트래픽을 제한하려면 Windows 인스턴스에 인바운드 RDP 트래픽에 대한 규칙 추가를 참조하세요.