re:Invent 2024: AWSの脅威インテリジェンスがインフラを守る仕組み
はじめに
海外の様々な講演を日本語記事に書き起こすことで、隠れた良質な情報をもっと身近なものに。そんなコンセプトで進める本企画で今回取り上げるプレゼンテーションはこちら!
📖 AWS re:Invent 2024 - How Amazon threat intelligence helps protect your infrastructure (SEC317)
この動画では、AWSがどのように脅威インテリジェンスを生成し活用しているかについて解説しています。AWSのグローバルなセンサーネットワークは1日に7億件以上の脅威を観察し、MadPot、Sonaris、Mithraという3つの主要なツールを活用して脅威の検知と対策を行っています。特にDeceptionテクノロジーを活用したMadPotは、悪意のある攻撃者のTTPsを明らかにし、新たな脅威を早期に発見することを可能にしています。これらのツールによって得られた脅威インテリジェンスは、AWS Shield、AWS WAF、Amazon GuardDutyなどのサービスを通じてAWSのインフラストラクチャとお客様のワークロードを保護するために活用されています。
※ 画像をクリックすると、動画中の該当シーンに遷移します。
re:Invent 2024関連の書き起こし記事については、こちらのSpreadsheet に情報をまとめています。合わせてご確認ください!
本編
AWSのThreat Intelligenceチームによる脅威対策の概要
本日はご参加いただき、ありがとうございます。このセッションでは、Amazonがどのように脅威インテリジェンスを生成し、 AWSのインフラストラクチャを保護するために活用しているかについてお話しさせていただきます。私の名前はSaleem Muhammadです。AWSに入社して3年になります。最初はAmazon Elastic Container Registryの管理を担当し、そこでオープンソースのコンテナビルドプロジェクトFenを立ち上げました。Network and Application Protectionでファイアウォールの管理を担当する前は、Dell Technologies、Brocade、Ciscoなどの企業でストレージ、ネットワーキング、プライベートクラウドのソリューションを担当していました。
私はWill Bowditchです。AWSに入社して約2年になります。Amazonに入社する前は、SecureWorksで脅威検知を担当し、その後Rapid7でリサーチとアドボカシーを担当していました。現在は、Perimeter Protection Threat Research Teamのセキュリティエンジニアとして、セキュリティとソフトウェアエンジニアリングの両方の責務のバランスを取りながら業務を行っています。
アジェンダを確認させていただきますと、まずAmazonがどのようにスケールを活用して脅威インテリジェンスを生成しているかについてお話しします。次に、これまでに公開している取り組みについてご紹介します。その後、それらのツールや取り組みの1つについて詳しく掘り下げていきます。また、そのツールを使用した脅威インテリジェンスの活用例を3つご紹介します。 そして最後に、AWS内で提供しているファイアウォールを使用して、この独自の脅威インテリジェンスをどのように活用してワークロードを保護できるかについてご説明します。
AWSの脅威インテリジェンス生成と活用戦略
私たちのインフラストラクチャの規模と大きさにより、AWSクラウドインフラストラクチャ全体で日々発生するトラフィックについて、独自の可視性を得ることができます。私たちは、放置すれば破壊的でコストのかかる可能性のある数百件のサイバー攻撃を検知し、成功裏に阻止しています。これらの重要ではありますが、普段は目に見えない成果は、グローバルなセンサーネットワークと関連する防御ツールによって実現されています。 これらのセンサーは、毎日7億件以上の脅威に関する相互作用を観察しており、そのうち約4億5千万件が悪意のあるものとして分類できる段階まで進行します。
AWSインフラストラクチャを保護する上で重要な部分は、脅威インテリジェンス機能と積極的な緩和メカニズムです。これらの取り組みの目的は、AWSを標的とする悪意のある攻撃者のコストを引き上げることで、脅威を低減することです。また、これによりAWSとAWS上のお客様のワークロードの可用性を維持する上で、先手を打つことができます。
私たちが生成する脅威インテリジェンスは、複数の方法で活用されています。 まず、AWSのインフラストラクチャと、お客様のAWS上のインフラストラクチャを保護するために使用されています。例えば、過去12ヶ月間で、意図せず公開状態になっているS3バケットを探索しようとする約270億件の試みと、脆弱なサービスを狙った約2.7兆件の攻撃を検知し、制限することに成功しました。次に、インターネットをより安全な場所にするため、業界内での協力を通じて脅威インテリジェンスを活用しています。その一例として、過去12ヶ月間に悪意のある攻撃者のネットワークとインフラストラクチャを妨害するため、約8万件のテイクダウン要請を行いました。さらに、政府機関との協力を通じて脅威インテリジェンスを活用しています。その例として、Anonymous Sudanのケースでは、政府機関と協力して攻撃者の特徴を特定し、妨害を行った結果、最終的に司法省による起訴につながりました。
お客様からは、私たちの脅威インテリジェンスがどこから得られるのか、どのような脅威を観測しているのか、そして観測した事象に対してどのように対処しているのかについて、さらにはAWS上のインフラストラクチャを保護するために、お客様自身に何ができるのかについて、ますます多くの質問をいただいています。私たちは数多くの脅威インテリジェンス収集活動に携わっていますが、公に話している主要な取り組みが3つあります。それらは、MadPot、Sonaris、Mithraという私たちの主要なツールです。
MadPotを使用することで、悪意のある活動を発見・監視し、可能な限り私たちのインフラストラクチャを保護するための妨害を行うことができます。MadPotは、Honeypotつまりデジタルデコイのネットワークで、悪意のある攻撃者のTTPを観察するために、常に進化し戦術を変更し続けています。MadPotを通じて収集したインテリジェンスは、DDoS攻撃からインフラストラクチャを保護するAWS Shieldで使用されます。また、AWSで利用可能なAWSマネージドルールに変換されて使用され、GuardDutyでお客様向けの検出結果を生成するためにも使用されています。
私たちが公に開示している2番目のツールは、Sonarisです。Sonarisを使用することで、悪用目的のスキャンや攻撃の試みを検知し、制限することができます。SonarisはMadPotとの統合により、より高い信頼度で悪意のある活動を特定することができます。Sonarisは、観測している脅威活動が確実に悪意のあるものだと高い確信度がある場合にのみ介入します。自動修復アクションを実行するだけでなく、そこから得られた脅威インテリジェンスを活用して、WAFやRoute 53 Resolver DNS Firewallで利用可能なAmazonマネージドルールを作成しています。
3番目のツールは、Mithraです。Mithraを使用することで、GuardDutyでお客様向けの検出結果を生成するために使用される悪意のあるドメインリストを高い信頼度で特定することができます。Mithraは、38億のノードと480億のエッジを持つニューラルネットワークグラフモデルで、アルゴリズムを使用して脅威インテリジェンスを生成します。Mithraは高い精度で悪意のあるドメインを特定することができ、外部の脅威インテリジェンスフィードに出現する何日も、何週間も、時には何ヶ月も前にそれらを特定できることがあります。
私たちのThreat Intelligenceは、NetworkとApplicationの保護スイートの中核に位置しています。 このThreat Intelligenceの主な活用先の一つが、AWSインフラストラクチャの保護です。また、同じThreat Intelligenceを活用してAWS Managed Rulesを作成し、NetworkとApplicationの保護のためにFirewallを通じてお客様に提供しています。さらに、グローバルに展開されたFirewallポリシーをコンプライアンスに準拠して一元管理できるFirewall Managerというツールもご用意しています。
Threat IntelligenceとDeceptionテクノロジーの重要性
Willさん、ご参加ください。 Threat Intelligenceという言葉は組織によって文脈が異なる可能性があるため、まずその定義を明確にしておくことが重要だと考えています。私たちにとってThreat Intelligenceとは、潜在的または実際のサイバー脅威に関する脅威データを収集、分析し、それを適用することで、事前に十分な情報に基づいたセキュリティ上の意思決定を可能にするプロセスです。 この定義に含まれる重要な要素として、Threat Intelligenceは文脈に即したものでなければならないと考えています。例えば、あるIPが悪意のあるものだった場合や、マルウェアをホストしているURLが見つかった場合、すぐにそのドメイン全体や、ドメインレジストラ全体が悪意があると判断するのは避けるべきです。そのような判断は、最良でも効果的な対策にならず、最悪の場合、不必要なダウンタイムを引き起こす可能性があります。逆に、高度な脅威グループに関するTTPsの情報を提供したとしても、それを適用する手段がなかったり、効果的に適用できるだけのセキュリティ体制や成熟度がなければ、その情報は役に立ちません。つまり、実行可能なものである必要があるのです。
私たちのチームのビジョンは、 Threat Intelligenceを活用して、Amazonの防御的かつ正確なセキュリティ対策を加速させる好循環を生み出すことです。 これを実現するため、新たな脅威、一般的な脆弱性、DDoSや認証情報詐取、ランサムウェアなどのサイバー攻撃、そしてランサムウェアグループやAPTsなどの脅威グループに関する、シグネチャ、アーティファクト、インディケータなどの脅威データを、Amazon社内のチーム向けに収集しています。この脅威データの分析により、検証可能な一次情報(つまり、証拠や追跡可能な記録を持つ情報)が生成され、AWSやインターネット全体を標的とする脅威に関する信頼できる情報となります。この情報は、組織が進化する脅威を理解し、適応していく上で極めて重要です。
では、なぜIntelligenceが重要なのでしょうか?それは、組織やビジネスが進化しているのと同様に、脅威の状況も常に変化しているからです。 もし単にIPセットを提供して「これらのIPは悪意があります」と言ったり、何らかのフィードを提供するだけでは、攻撃者が戦術を変更して適応するため、すぐに古くなってしまいます。皆さんの組織はそれぞれユニークです。これは単なるお世辞ではありません。それぞれが特定の業種や技術スタックを持っており、様々な脅威が存在します。限られた時間の中で効率的にリソースを配分するためには、自社の業種を標的とする脅威に焦点を当てる必要があります。Threat Intelligenceが価値を持つのは、積極的な協力と共有が行われるからです。まるで異なる組織から異なるパズルのピースを集めるようなもので、場合によっては法執行機関と協力してこれらの脅威を排除する際に、知識共有の機会が生まれます。
では、Threat Intelligenceの収集をどのように始めればよいのでしょうか?一つのアプローチは、侵害後などの脅威のターゲットから逆算して作業を進めることです。 インシデントからの復旧後には、チームが分析できる脅威に関する大量のアーティファクトが得られます。文脈を把握できているため、 将来の脅威を軽減するために使用できるThreat Intelligenceを作成することができます。もちろん、これは理想的なシナリオではありません。 脅威を軽減し始めるために、侵害されるのを待つわけにはいきません。さらに、Amazonの観点からすると、脅威から逆算して作業を進めることは、プライバシーの懸念やデータの所有権の問題で大きな課題があります。侵害された顧客や自社が侵害された場合の情報に依存せざるを得なくなり、情報収集のために不幸な出来事に頼らなければならない困難な立場に置かれることになります。
私たちのチームは、最善の防御は攻撃にあると考えています。今日知られている攻撃シグナルから後ろ向きに取り組むだけでなく、クラウドを標的とする新しい脅威を発見するため、脅威モニタリングおよび追跡メカニズムから得られる異常なシグナルの調査を優先しています。そのため現在、より多くの脅威をより早期に深く理解するために、Deceptionテクノロジーに注力しています。Deceptionテクノロジーとは、デコイやトラップを使用して脅威アクターを引き付け、関与させ、欺くことで、彼らのTTPsを明らかにするセキュリティアプローチです。Deceptionテクノロジーの主な利点の1つは、狭い範囲に焦点を絞ったデータを提供できることです。従来のセキュリティログは膨大な量になりがちですが、Deceptionは私たちにはるかに小さく、より集中したデータセットを提供します。これは、システムが悪意のあるアクターのみを引き付けるように設計されており、通常のテレメトリのノイズを効果的にフィルタリングするためです。その結果、Deceptionシステムで何かを検出した場合、それは調査する価値があると確信できます。
さらに、Deceptionテクノロジーは、攻撃の全段階にわたって脅威データを収集することができます。偵察段階では、デコイがスキャン活動を検出し、アクターが何を探しているかを明らかにします。アクターが武器化や配信に移行する際には、Honeypotがマルウェアやその他のアーティファクトを捕捉し、それらをリバースエンジニアリング、静的解析、サンドボックス化で分析することができます。デバイスへの持続的なアクセスを確立しようとするアクターの手法を観察できますが、その扉は閉ざされています。最終的に、Deceptionテクノロジーは、システムの破壊なのか、Ransomwareなのか、データの流出なのか、アクターの狙いを明らかにすることができます。
Deceptionはまた、発生源でアクターを妨害することができます。Deception環境と関わることで、彼らは専用インフラの小さな断片を明らかにし、これらの脅威データとしてのアーティファクトによって、特定の脅威グループやアクターに攻撃を帰属させることができます。場合によっては、この情報を外部プロバイダーや法執行機関と共有し、グローバルな規模で脅威に対抗することも可能です。最後に、Threat Deceptionは適応性と拡張性があり、業界を問わずあらゆる組織の特定のニーズとインフラに合わせてカスタマイズできます。特に素晴らしいのは、Deceptionテクノロジーは必ずしも本番環境で実行する必要がないことです。分離された環境で本番環境のように見せかけることができ、実際のビジネスニーズに影響を与えることなく、Deceptionシステムを継続的に修正、変更、スケールすることができます。
Deceptionテクノロジーにはいくつかの種類があります。これらは全て連携して機能しますが、人々が使用する用語が異なるので、順番に説明していきます。BaitsとLuresは、アクターを引き付けるために公開される情報やアーティファクトの断片です。これは、脆弱性が見つかったばかりのサービスの目立つHTTPタイトルや、重要なシステムに関連する可能性のあるドメイン名などかもしれません。その中にHoneytokenがあり、これは証明書、認証情報、ファイルなどの偽のデジタルエンティティです。これらは炭鉱のカナリアのようなもので、誰かがこれらの認証情報を使用しようとすると、誰も触れてはいけないものに触れられたことを示す信号を発することができます。最後に、Honeypotがあり、これはインターネットや自然なシステム上で公開されているデコイやシステムで、さまざまなサービスをエミュレートします。
弱いプローブに応答するだけの低対話型Honeypotから、ハードウェアレベルまで忠実な正規のサービスを提供する高対話型Honeypotまでさまざまです。これらのテクノロジーは連携して、Threat Deceptionのフライホイールを構築します。攻撃者がテクノロジーと相互作用すると、私たちは彼らに関する情報を収集し、それを使用してDeceptionをより説得力のある効果的なものに改良していきます。脅威アクターが特定のパスやファイルを探している場合、私たちは彼らが何を探しているかを特定し、Honeypotを修正してそれを追跡できるので、脆弱性が存在することを確認して攻撃を仕掛けようとした時に対応できます。このシステムにより、ネットワークは受動的なターゲットから、常に学習し、進化する脅威の状況に適応するアクティブな防御システムへと変貌を遂げます。
MadPotを活用した具体的な脅威対策事例
MadPotは、Amazonがクラウドにおける新たな脅威を発見するために用いているDeceptionの手法の一例として公開されているものです。昨年私たちが公開したこのツールについて、本日のトークではさまざまなユースケースを詳しく説明していきます。 まず、Threat DeceptionとMadPotが重要である理由について考えてみましょう。例えば、AWSで何かを構築してWebアプリケーションとして公開しようとしている場合を想像してください。ここで問題が発生します - インターネット上の最新のCommon Vulnerability Exposures(CVE)に追いついていない状態で、脆弱性のあるサーバーをリリースしてしまったとします。 このサービスが侵害されるまでにどのくらいの時間がかかると思いますか?平均してわずか90秒以内に、そのサーバーに対するプローブ(誰かが在宅しているか、どんなサービスが動いているかを確認するような行為)が行われます。 そして3分以内には、そのサーバーに対する実際の攻撃が開始されるのです。
なぜ私たちはこれを知っているのでしょうか?なぜ1時間ではなく90秒という数字なのでしょうか?それは、AWSのネットワーク全体にわたって、世界中のパブリックIPアドレスの範囲内に、さまざまなアプリケーションやプロトコルをエミュレートする偽装センサーを配置しているからです。これにより、悪意のある攻撃者があなたのリソースを探してネットワークの境界を探索する際に、代わりに私たちの罠にかかることになります。サイバーセキュリティの世界では、これらはHoneypotと呼ばれており、AmazonではこのHoneypotのフリートによるDeceptionシステムと脅威インテリジェンス収集プラットフォームをMadPotと呼んでいます。
MadPotのアーキテクチャは、いくつかの重要な設計原則に基づいて構築されています。詳細には立ち入れませんが、これらの考え方は重要です。開発とアジリティが鍵となります - 私のチームはセキュリティエンジニアとソフトウェアエンジニアが密接に協力して働いています。新しい脅威が出現し変化する中で、このシステムは非常に迅速な反復が必要です。私たちは研究チームなので、実験はMadPotに組み込まれています - 顧客を支援する指標を収集するため、脅威アクターとの関わりを最大化することを目指しています。リアリティと隠密性は極めて重要です。MadPotが群衆の中で簡単に識別されないようにする必要があります。また、入ってくる様々な相互作用に対する分類を伴うペイロードシグネチャとアノテーションが必要です。下流の顧客がその検証可能な自社データに依存しているため、これらの分類を信頼できる必要があります。最後に、リモートコード実行ペイロードやさらなる分析のために安全に保存する必要のある埋め込みコンテンツ内のリンクを見つけた際の、脅威アーティファクトの抽出と保存が必要です。
MadPotはAmazonが使用する脅威データの唯一のソースではなく、さらに重要な分析が必要です。この分析には、疑わしいリソースの調査による検証、マルウェアが何にコールアウトするかを確認するための実行、そしてカバレッジを向上させるためのNetflowの追跡が含まれます。この作業の結果、AWS Shieldによるnullルートの実装、AWS WAFのマネージドルール、インフラストラクチャが悪意のあるソースと通信を開始した際に表示されるAmazon GuardDutyの各種検出結果、そして社内外へのテイクダウン要請など、効果的な緩和と阻止に活用できる脅威指標が得られます。
MadPotを支えているのは、毎日数万のIPアドレスでTCPおよびUDPトラフィックを受信する、このグローバルなHoneypotフリートです。数百の異なるサービスをエミュレートしています。
これらのサービスには、PostgreSQLからSSH、RDP、特定のHTTPアプリケーションまで幅広く含まれています。IPカメラ、小規模オフィス用ホームルーター、VPNソフトウェアなど、一般的に攻撃対象となるデバイスのフィンガープリントを模倣し、脅威アクターを引き付けてTTPsを明らかにすることを目的としています。そして、この得られたデータとインテリジェンスは、数十のチームやサービスに提供されています。
それでは、ユースケースについて見ていきましょう。まずは、Botnetからお客様を保護する方法についてです。Botnet C2の匿名性と分散化により、多様な攻撃が可能となり、防御側にとって脅威の軽減が非常に困難になっています。単にBotnetを発見し、そのIPを特定してブロックするだけでは問題は解決しません。MadPotはこれらのBotnet C2を引き付けて関与することで、AWSが積極的にBotnetの活動を妨害し、撲滅することを可能にしています。
Botnetとは、BotsやZombiesと呼ばれる侵害されたデバイスのネットワークで、脅威アクターによって制御されています。このプロセスは、攻撃者が通常は違法な手段でスキャナーとしてホストマシンを入手することから始まります。その後、攻撃者はこれらのマシンを使用してインターネットをスキャンし、相互作用可能な脆弱なデバイスを特定します。彼らは、まさに探しているものを見つけるために、パブリックな攻撃対象面管理ツールを使用したり、透明性ログを監視したり、単にIPv4の列挙を行ったりします。脆弱なデバイスが特定されると、攻撃者は通常自己増殖するように設計されたマルウェアに感染させます。
各デバイスは、出会った他のデバイスへの感染を試みます。このアプローチにより、Botnetは急速に成長することができます。また、これらのBotnetオペレーターは互いに競争していることに注目すべきです。これは完全に裏側で行われているビジネスです。彼らは可能な限り多くのデバイスに感染させることを競い合い、最大で最も強力なBotnetの構築を目指しています。この競争が、さまざまなBotnetファミリーの急速な拡大と進化を促進しています。
さて、このBotが自身の感染の原因となった脆弱性と同じものを模倣している可能性のあるMadPotセンサーに感染を広げようとしたとしましょう。センサーが脆弱だと信じ込んだBotは、何らかのリモートコード実行を含むリクエストを送信し、ドロッパーのダウンロードを試みます。もしこのチェーンを追跡してこの抽出されたドロッパーを実行すると、実際のマルウェアがホストされている配布サーバーを呼び出すBashスクリプトかもしれません。
もしBotnetマルワェアを実行すると、Command and Control(C2)サーバーへの通信が確認できるはずです。そして、別のシステムを使ってC2サーバーの動作を特定・確認することができます。AWSでは、AWS WAFやNetwork Firewall、GuardDutyなど、セキュアなアプリケーションを実行するためのリソースを提供していますが、これらの使用を強制しているわけではありません。開発者の中にはAWSのセキュリティのベストプラクティスに従わない方もいて、その結果インスタンスが侵害されてしまうことがあります。私たちは、侵害されたインスタンスが他のお客様や標的への攻撃に関与することを防ぎたいと考えています。実際の標的への影響だけでなく、AmazonのIPアドレスの評判やリソースにも悪影響を及ぼし、インターネット全体にとっても良くありません。
C2を特定できれば、AWSネットワーク全体でそのアクセスを遮断することができ、たとえインスタンスが感染していても攻撃命令を受信できなくなります。また、私たちのチームは感染したお客様をサポートする他の取り組みも行っています。収集した脅威インテリジェンスは、AWSだけでなく、インターネット全体のセキュリティにとっても有用です。なぜなら、このCommand and Controlサーバーは別のホスティングプロバイダーでホストされており、そのプロバイダーもC2の実行を望んでいないはずだからです。おそらく、盗まれたアカウントから作られたものでしょう。これは攻撃者の専用インフラなので、私たちはこれらのインテリジェンスと証拠をすべて外部のホスティングプロバイダーと共有し、このCommand and Controlサーバーの停止を支援しています。
協力の一例をご紹介します。Botnet以外にも様々な協力を行っていますが、最近の興味深い事例として、10月16日に米国司法省がAnonymous Sudanサイバー犯罪グループの指導者に対する刑事告発を公表し、このグループが分散型サービス妨害(DDoS)攻撃を実行するために悪用していた専用インフラの停止につながったAmazonの貢献が認められました。過去12ヶ月間で、私たちは252,500以上のホスティングプロバイダーやドメインレジストラに対して、80,000以上の個別のホストとドメインの停止を要請しました。サービスプロバイダーが私たちの要請に基づいて攻撃インフラを停止すると、攻撃者は新しいインフラを再構築する必要があり、それには時間とコストがかかります。私たちの停止要請は、これらの犯罪グループの運営コストとビジネスコストを増加させ、収益性を低下させています。
DDoS as a Serviceは、AWSが過去2年間で撲滅を支援してきた新しい「as a Service」という用語です。私たちのツールを使用することで、Anonymous Sudanが公に主張したDDoS攻撃を継続的に追跡することができました。Anonymous Sudanの標的には、医療機関、eコマース、政府機関、ストリーミングメディア、通信事業者など、様々な分野が含まれていました。これらの攻撃を実行するために、Anonymous Sudanはインターネット上のプロキシの背後にサーバーを隠していましたが、MadPotを使用することで、グループの攻撃インフラの発信元を特定し、Anonymous Sudanに攻撃を確実に関連付けるために必要な情報を収集し、このインフラをホストしている関連組織に情報を提供することができました。これにより、ホスティングプロバイダーや業界パートナーは、この脅威グループが使用する重要なコンポーネントを特定することができました。
次に、進化し変化し続けるマルワェア配布ネットワークからお客様を保護することについてお話しします。私たちは、そこでホストされているものに常に注意を払う必要があります。先ほど述べたように、これらのDDoS攻撃は阻止しましたが、Command and Controlサーバーをブロックしても、Amazonに感染したBotが依然として存在している可能性があります。MadPotは、マルワェアのホスティングと配布ポイントを特定することができ、AWSはAWSリソースへのダウンロードを事前に阻止することができます。
CVE-2024-47076として知られるCUPSの権限昇格を必要としないRemote Code Execution(RCE)のゼロデイ脆弱性について説明しましょう。この脆弱性は公開前の数週間、CVSS スコア9.9という非常に高いスコアで大きな注目を集めました。CUPSはCommon UNIX Printing Systemの略で、LinuxサーバーがPrintジョブを受け付けるPrintサーバーとして機能することを可能にするUNIX系オペレーティングシステム向けのシステムです。 この脆弱性により、CUPSサーバーがインターネットに公開されている場合、任意の攻撃者がUDPリクエストを送信してPrinter URLをサーバーとして追加することが可能でした。これは特にDDoSの観点から興味深い点で、小さなペイロードのUDPリクエストが大きなHTTP POSTリクエストを引き起こす増幅攻撃の一例となっています。
攻撃者の偽装サーバーには、サニタイズされていない未検証のPrinter属性コマンドが含まれており、これにより攻撃者は任意のコードを実行することができます。Internet Printing Protocol(IPP)を使用する際、マルウェアをダウンロードしようとする呼び出しが発生します。実行は即座には行われず、通常のユーザーがPrintジョブを送信した時点で、PrintサーバーがPrinterをチェックし、そのRemote Code Executionが実行されます。 このため、私たちは噂に惑わされることなく、データに基づいて判断するようにしています。この脆弱性はRemote Code Executionの実行にPrintジョブを必要とし、また、Web上の正規のLinux Printサーバーの数はそれほど多くありません。これは、人々がCUPSサーバーを探そうとすると、代わりにMadPotに遭遇することが多いという事実からも分かります。
MadPotは同じリクエストをエミュレートすることでこれを検知することができます。UDPリクエストを検知し、CUPSについて認識した上で、そのPOSTリクエストを送信します。 MadPotはPrintジョブの発生を待つ必要はなく、攻撃者のPrinterが送信したコードをPrinter登録ペイロードで検知するだけです。これにより、アーティファクトとサーバー情報を取得でき、他の社内チームがそのマルウェア配布サーバーをブロックすることが可能になります。
ここで重要な点は、最近の注目度の高い脆弱性であるCUPSの問題以外にも、私たちは数多くのマルウェア配布サーバーを追跡しているということです。AWSの内部テレメトリーによると、AWSリソースに対する103,000件以上のマルウェアインストールの試みを防止しており、これは顧客保護の観点から非常に重要な数字です。
アクティブな攻撃は、パッチが適用されていない脆弱性、未知の脆弱性、または新たに出現した脆弱性を利用してシステムを急速に侵害します。MadPotは様々な脆弱な技術をエミュレートすることで、これらの新たな脅威を特定・分析し、AWSが積極的にこれらのアクティブな攻撃を阻止することを可能にしています。
AWSの多層防御戦略とお客様への提供価値
AWSはどのようにしてお客様を保護しているのか、その効果をどのように測定しているのでしょうか?例えば、Actor AとActor Bという2つの攻撃者がいるとします。Actor Aは、私たちがそのインフラを把握しているため、対策済みでお客様は保護されています。一方、Actor Bは新しい攻撃者で、これまでに見たことがないため、対策がされていません。私たちは、AWSの全てのお客様が受けているのと同じ保護を適用したMadPotと、保護のないMadPotの両方を運用しています。 これにより、これまでに見たことのない未対策の攻撃元は、保護されたシナリオでも保護されていないシナリオでもMadPotに攻撃を仕掛けることができますが、対策済みの攻撃は遮断されることがわかります。保護されたVPCにあるMadPotと保護されていないMadPotを比較することで、どれだけのお客様が保護されているか、そしてどれだけの脅威をブロックできているかを測定することができます。
次に、CyberPanelのゼロクリック認証前RCEについてお話しします。これはユーザーの操作を必要とせず、認証前(pre-auth)とは、システムへのアクセスに認証が不要であることを意味します。CVSSスコアは9.8です。CyberPanelは、WebアプリケーションやGUIを通じてサーバーの管理を支援するオープンソースのWebホスティングコントロールパネルです。10月29日、CyberPanelのDjangoアプリケーションのMySQL status更新エンドポイントに深刻な脆弱性が発見されました。この脆弱性は、ユーザー入力の適切なサニタイズが行われていないことに起因し、アプリケーションの制御をバイパスして任意のコマンドを実行することを可能にします。
この脅威が発見されてから1日以内に、インバウンドブロッキングを担当する別チームのSonarisは、MadPotのデータを活用して、このCVEを悪用する攻撃者からネットワーク全体のお客様を保護するライブ対策を実装することができました。 この脆弱性に対する具体的な対策は1日で開発されましたが、グラフが示すように、脅威アクターがリソースを再利用していなかったため、すでにお客様を保護できていました。私たちは既に攻撃者を追跡していたため、この多層防御の利点を得ることができたのです。
Sonarisが実装したこれらの境界保護により、お客様に対する攻撃の試みは80%減少しました。 ここで少し共有責任モデルについてお話しさせてください。Amazonは、AWSがAWS内で実行されるインフラストラクチャを保護する責任を負うという考えで運営しています。一方で、クラウド内のセキュリティについては、適切な構成を維持し、サービスが安全であることを確認する責任はお客様側にあります。
今日ご紹介した取り組みは、Amazon Threat Intelligenceがクラウドのセキュリティレベルを向上させていることを示しています。私たちは、より高度なサービスと当社のセキュリティサービスを組み合わせることで、お客様が無料でより多くのメリットを得られるようにしています。MadPotのグローバルな規模を活用して、新たな無差別なクラウドの脅威から全てのお客様を守る境界保護を配置しています。実質的にインターネットノイズ、つまり基底のノイズを除去することで、お客様は自身に本当に影響を与える限定的なトラフィックに集中することができます。
MadPotのインテリジェンスを活用する方法は他にもあります。その1つが、AWS WAF(AWS Web Application Firewall)を通じた方法です。AWS Managed Rulesには、AWSManagedIPReputationListと呼ばれるものがあります。これは、MadPotで検知された不審なIPアドレスのリストです。AMRをお使いの場合は、ぜひこの機能をオンにすることをお勧めします。すぐに効果が得られますよ。私はAWS Managed IPのDDoSリストについても多くの作業を行ってきましたので、DDoS攻撃を防ぎたい方は、後ほどご相談ください。これらのリストは頻繁に更新されており、WAFの非常に優れた機能の1つとなっています。
次に、GuardDutyをお使いの場合、MadPotのインテリジェンスに基づく検出結果やアラートを受け取れるように設定できます。現在、GuardDutyに提供している不審な対象は2つのカテゴリーに分かれています。1つはCommand and Control(C2)のバックドアです。もしVPCやネットワーク内のデバイスがこれらのC2と通信している場合 - これは単なる不審な対象だけでなく、専用のインフラを持つ攻撃者のチェーン全体に遡って検知します - そしてもう1つはBitcoinの暗号通貨マイナーです。GuardDutyをご利用のお客様は、これらのアラートを設定することができます。まだGuardDutyをご利用でない方は、30日間の無料トライアルで、ご自身のネットワークへの攻撃状況を確認することができます。私たちは、このインテリジェンスをお客様にお届けするための新機能の統合にも取り組んでいます。ご清聴ありがとうございました。よい一日をお過ごしください。
※ こちらの記事は Amazon Bedrock を利用することで全て自動で作成しています。
※ 生成AI記事によるインターネット汚染の懸念を踏まえ、本記事ではセッション動画を情報量をほぼ変化させずに文字と画像に変換することで、できるだけオリジナルコンテンツそのものの価値を維持しつつ、多言語でのAccessibilityやGooglabilityを高められればと考えています。
Discussion