AWS

다운로드 220
업데이트 2024. 2. 21.

AWS EC2 인스턴스 삭제

AWS EC2 인스턴스 삭제 시 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: aws-cloudtrail
  • 대상 수집모델
    • AWS CloudTrail

쿼리

AWS는 EC2 인스턴스 삭제 시 CloudTrail에 TerminateInstances 로그를 기록합니다.

| search event_name == "TerminateInstances"
| eval instance_id = strjoin("\n", foreach(valueof(_1, "instanceId"), valueof(valueof(req_params, "instancesSet"), "items")))

메시지

사용자 $user ($src_ip)가 AWS 계정 $account_id의 리전 $aws_region에서 인스턴스 $instance_id 삭제

출력 필드 순서

  • _log_time, account_id, aws_region, src_ip, user, user_type, user_agent, event_name, instance_id, req_params, resp_params, tls_details

위협 분석

  • 공격자는 악성 행위를 수행한 이후에 침해 증적을 제거하기 위하여 EC2 인스턴스를 삭제할 수 있습니다.
    • LAPSUS$ 그룹처럼 보안팀의 침해 대응 절차를 확인하기 위하여 가상 머신을 삭제하는 경우도 존재함

오탐 유형

  • 사용자의 정상적인 EC2 인스턴스 삭제 시에도 탐지될 수 있습니다.

MITRE ATT&CK