AWS

구독
다운로드 247
업데이트 2024. 2. 21.

AWS EC2 인스턴스 생성

AWS EC2 인스턴스 생성 시 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: aws-cloudtrail
  • 대상 수집모델
    • AWS CloudTrail

쿼리

AWS는 EC2 인스턴스 생성 시 CloudTrail에 RunInstances 로그를 기록합니다.

| search event_name == "RunInstances"
| eval instance_type = valueof(req_params, "instanceType")
| eval instance_name = strjoin("\n", foreach(if(valueof(_1, "key") == "Name", valueof(_1, "value"), ""), flatten(foreach( _1  , foreach(valueof(_1, "tags"), valueof(valueof(req_params, "tagSpecificationSet"), "items"))))))

메시지

사용자 $user ($src_ip)가 AWS 계정 $account_id의 리전 $aws_region에서 $instance_type 사양의 인스턴스 $instance_name 생성

출력 필드 순서

  • _log_time, account_id, aws_region, src_ip, user, user_type, user_agent, event_name, instance_type, instance_name, req_params, resp_params, tls_details

위협 분석

  • 공격자는 새로운 EC2 인스턴스를 생성하여 암호화폐 채굴 등 악의적인 활동을 수행할 수 있습니다.
  • 공격자는 볼륨 스냅샷을 생성하고, 새 인스턴스에 볼륨 스냅샷을 마운트하여 보안 정책을 무력화하고 데이터를 수집하거나, 원격 데이터를 임시로 보관하는데 활용할 수 있습니다.

오탐 유형

  • 사용자의 정상적인 EC2 인스턴스 생성 시에도 탐지될 수 있습니다. 그러나 모든 인스턴스 운영은 비용이 발생하므로 인가된 인스턴스 생성인지 전수 점검을 권장합니다.

MITRE ATT&CK