こんにちは、Xイノベーション本部 ソフトウェアデザインセンター セキュリティグループの福山です。
好きなAWSサービスはSecurity HubとGuardDutyです。
はじめに
2023年4月10日にGuardDutyの新しい検出タイプが公表されましたので紹介します。
https://aws.amazon.com/jp/about-aws/whats-new/2023/04/amazon-guardduty-threat-detections-dns-traffic/
追加された3つの検出タイプは、すべてDefense Evasionに関連しています。
Defense Evasionとは「防衛回避」のことで、セキュリティソフトに検知されないために攻撃者が攻撃を隠蔽することです。
今回、外部 DNS プロバイダーを使用するか、HTTPS (DoH) または TLS (DoT) 経由で DNS トラフィックを送信するなどの手法を使用した防衛回避について検出できるようになりました。
各検出タイプについて、以下で説明します。
新しく追加された検出タイプ
DefenseEvasion:EC2/UnusualDNSResolver
- 重要度:Medium(中)
- 使用可能なリージョン:GuardDutyがサポートされている全リージョン
- 検出ロジック:通常、EC2インスタンスは、正当なDNSサーバーからの応答を受信することが期待されます。
この検出は、EC2インスタンスが通常のDNSトラフィックパターンを学習し、長期間利用していないパブリックDNSリゾルバに対するDNS通信を警告します。 - 補足:本機能が追加される前のGuardDutyには、デフォルトのAWS DNSリゾルバを使用して問題を見つけるといった制限がありました。
なので、例えばデフォルトのDNS設定をGoogle DNS(8.8.8.8または8.8.4.4)とすると、攻撃は検出されずに任意のドメインにクエリを実行できてしまいます。
前提として、安易にデフォルトのAWS DNS設定を外部DNSに変えることは避けるべきですが、今回の機能追加によって検出できるようになりました。 - 参考:https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#defenseevasion-ec2-unusualdnsresolver
DefenseEvasion:EC2/UnusualDoHActivity
- 重要度:Medium(中)
- 使用可能なリージョン:一部リージョン※を除くGuardDutyがサポートされている全リージョン
- 検出ロジック:この検出は、EC2インスタンスの通常のDNSトラフィックパターンを学習し、長期間利用していないパブリックDoHサーバへのDoH通信を警告します。
- 補足:DoH(DNS over HTTPS)とは、HTTPS を用いて DNS通信を行う技術のことです。
従来のDNSはUDPによる平文でしたが、これをHTTPSの技術を使用して暗号化します。
攻撃者は、DoHを使用して通常のDNSトラフィックを脅威検知から回避することがあります。 - 参考:https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#defenseevasion-ec2-unsualdohactivity
DefenseEvasion:EC2/UnusualDoTActivity
- 重要度:Medium(中)
- 使用可能なリージョン:一部リージョン※を除くGuardDutyがサポートされている全リージョン
- 検出ロジック:この検出は、EC2インスタンスの通常のDNSトラフィックパターンを学習し、長期間利用していないパブリックDoTサーバへのDoT通信を警告します。
- 補足:DoT(DNS over TLS)とは、DNS 通信をTLSレベルで暗号化する技術のことです。
攻撃者は、DoTを使用して、通常のDNSトラフィックを脅威検知から回避することがあります。 - 参考:https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#defenseevasion-ec2-unusualdotactivity
※ 一部リージョン:AWSアジアパシフィック(大阪), AWSアジアパシフィック(ジャカルタ), AWSアジアパシフィック(ソウル), 中国(北京、Sinnetが運営), 中国(寧夏、NWCDが運営)
所感
上記3タイプはデータソースとしてVPCフローログを利用しているということで、今まで検出できなかったパターンを補完するアップデートとなりました。
DoHとDoTの利用はまだ普及していないため、「DefenseEvasion:EC2/UnusualDoHActivity」が検出される機会が増えそうです。
なお、直近で通信履歴がないものに対して検知されるため、誤検知も少なからず発生する可能性はあります。
検出されたらターゲットのIPを確認し、想定された正常な動きかどうか慎重に見極めた方が良さそうです。
私たちは同じチームで働いてくれる仲間を大募集しています!たくさんのご応募をお待ちしています。
セキュリティエンジニア(セキュリティ設計)執筆:@fuku.dancho、レビュー:@yamashita.tsuyoshi
(Shodoで執筆されました)