사용자가 새 AWS IAM 계정 생성 시 탐지합니다.

쿼리

AWS CloudTrail 감사 로그의 이벤트 이름이 CreateUser 이면 탐지합니다.

| search event_name == "CreateUser" 
| eval target_user = valueof(req_params, "userName")
| rename account_id as cloud_account, aws_region as cloud_region

메시지

• AWS IAM 계정 생성: 클라우드 $cloud_account, 리전 $cloud_region, 계정 $user, 신규 계정 $target_user

출력 필드 순서

• _log_time, cloud_account, cloud_region, src_ip, user, user_type, event_source, event_name, target_user, user_agent

위협 분석

• AWS IAM 사용자 생성 이벤트는 정상적인 운영 행위일 수도 있으나, 공격자가 계정에 침입한 뒤 지속적인 접근 권한을 확보하기 위해 새로운 사용자를 생성하는 행위일 수 있습니다.
• 공격자는 새로 생성한 계정을 통해 기존 계정이 차단되거나 권한이 변경되어도 접근을 유지할 수 있습니다.
• 특히 관리자 권한이나 광범위한 IAM 정책이 부여된 계정이 생성될 경우, 권한 상승 및 장기적인 내부 침투로 이어질 수 있습니다.

오탐 유형

• 신규 인프라 구축이나 서비스 운영을 위해 보안팀 혹은 운영팀이 승인 절차에 따라 새로운 사용자를 생성하는 정상 업무일 수 있습니다.
• AWS 계정 통합 관리, 신규 팀원 온보딩 과정에서 발생하는 합법적 사용자 생성도 탐지될 수 있습니다.
• 자동화 스크립트나 IaC(Terraform, CloudFormation 등)를 통해 사전 정의된 사용자 계정이 생성되는 경우도 탐지될 수 있습니다.

대응 방안

• CreateUser 이벤트 발생 시, 생성된 계정의 권한 수준과 부여된 정책을 즉시 검토합니다.
• 사전에 승인된 사용자 생성인지 운영 절차와 대조하여 검증합니다.
• 비정상적이거나 승인되지 않은 계정으로 확인되면 해당 계정을 즉시 비활성화하거나 삭제하고, 접근 키 및 세션 토큰을 폐기합니다.
• 계정 생성 주체의 출발지 IP, 사용자 에이전트, 호출 계정을 분석하여 침해 징후 여부를 확인합니다.
• 재발 방지를 위해 IAM 사용자 생성 권한을 최소한으로 부여하고, 가능하면 IAM Role 기반 접근을 우선 적용합니다.

MITRE ATT&CK

• 전술
  • Persistence
• 기법
  • 이름: Create Account: Cloud Account
  • ID: T1136.003
  • 참조 URL: https://attack.mitre.org/techniques/T1136/003/