電通総研 テックブログ

電通総研が運営する技術ブログ

【アップデート】Amazon GuardDutyでEC2からのDNSトラフィックの異常検知が強化されました!


こんにちは、Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。
好きなAWSサービスはSecurity HubとGuardDutyです。

はじめに

2023年4月10日にGuardDutyの新しい検出タイプが公表されましたので紹介します。
https://aws.amazon.com/jp/about-aws/whats-new/2023/04/amazon-guardduty-threat-detections-dns-traffic/
追加された3つの検出タイプは、すべてDefense Evasionに関連しています。
Defense Evasionとは「防衛回避」のことで、セキュリティソフトに検知されないために攻撃者が攻撃を隠蔽することです。
今回、外部 DNS プロバイダーを使用するか、HTTPS (DoH) または TLS (DoT) 経由で DNS トラフィックを送信するなどの手法を使用した防衛回避について検出できるようになりました。
各検出タイプについて、以下で説明します。

新しく追加された検出タイプ

DefenseEvasion:EC2/UnusualDNSResolver

DefenseEvasion:EC2/UnusualDoHActivity

DefenseEvasion:EC2/UnusualDoTActivity

※ 一部リージョン:AWSアジアパシフィック(大阪), AWSアジアパシフィック(ジャカルタ), AWSアジアパシフィック(ソウル), 中国(北京、Sinnetが運営), 中国(寧夏、NWCDが運営)

所感

上記3タイプはデータソースとしてVPCフローログを利用しているということで、今まで検出できなかったパターンを補完するアップデートとなりました。
DoHとDoTの利用はまだ普及していないため、「DefenseEvasion:EC2/UnusualDoHActivity」が検出される機会が増えそうです。
なお、直近で通信履歴がないものに対して検知されるため、誤検知も少なからず発生する可能性はあります。
検出されたらターゲットのIPを確認し、想定された正常な動きかどうか慎重に見極めた方が良さそうです。


私たちは同じチームで働いてくれる仲間を大募集しています!たくさんのご応募をお待ちしています。

セキュリティエンジニア(セキュリティ設計)

執筆:@fuku.dancho、レビュー:@yamashita.tsuyoshi
Shodoで執筆されました