AWS EC2 인스턴스 삭제 시 탐지합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: aws-cloudtrail
• 대상 수집모델
  • AWS CloudTrail

쿼리

AWS는 EC2 인스턴스 삭제 시 CloudTrail에 TerminateInstances 로그를 기록합니다.

| search event_name == "TerminateInstances"
| eval instance_id = strjoin("\n", foreach(valueof(_1, "instanceId"), valueof(valueof(req_params, "instancesSet"), "items")))

메시지

사용자 $user ($src_ip)가 AWS 계정 $account_id의 리전 $aws_region에서 인스턴스 $instance_id 삭제

출력 필드 순서

• _log_time, account_id, aws_region, src_ip, user, user_type, user_agent, event_name, instance_id, req_params, resp_params, tls_details

위협 분석

• 공격자는 악성 행위를 수행한 이후에 침해 증적을 제거하기 위하여 EC2 인스턴스를 삭제할 수 있습니다.
  • LAPSUS$ 그룹처럼 보안팀의 침해 대응 절차를 확인하기 위하여 가상 머신을 삭제하는 경우도 존재함

오탐 유형

• 사용자의 정상적인 EC2 인스턴스 삭제 시에도 탐지될 수 있습니다.

MITRE ATT&CK

• 전술
  • Defense Evasion
• 기법
  • 이름: Modify Cloud Compute Infrastructure: Delete Cloud Instance
  • ID: T1578.003
  • 참조 URL: https://attack.mitre.org/techniques/T1578/003/