Question 

아래와 같이 AWS Abuse team으로부터 저희가 사용하고 있는 NAT Gateway에 포트 스캐닝(Port Scanning)이 의심 된다는 AWS Abuse report를 수신하였습니다.

이럴 경우에 어떻게 대처해야 합니까?






Answer

계정 침해가 의심되는 활동이 포착되면 AWS Trust & Safety 팀에서 귀하의 계정에 기재되어 있는 보안 연락처로 침해 사례 보고서(Abuse report)를 전송합니다.

기재된 보안 연락처가 없으면 계정에 표시된 루트 이메일 주소로 연락합니다. 



침해 사례로 의심되는 활동의 예는 다음과 같습니다.

  • 스팸: AWS 소유 IP 주소에서 원치 않는 이메일을 수신하거나 AWS 리소스가 웹 사이트 또는 포럼에 스팸을 보내는 데 사용됩니다.

  • 포트 스캐닝: 하나 이상의 AWS 소유 IP 주소에서 서버의 여러 포트로 패킷을 전송하고 있음이 로그에 표시됩니다. 또한 이는 보안되지 않은 포트를 찾으려는 시도라고 생각합니다.

  • DoS (서비스 거부) 공격: 하나 이상의 AWS 소유 IP 주소가 리소스의 포트를 패킷으로 플러딩하는 데 사용됨이 로그에 표시됩니다. 또한 서버 또는 서버에서 실행되는 소프트웨어를 압도하거나 충돌하려는 시도라고 생각합니다.

  • 침입 시도: 하나 이상의 AWS 소유 IP 주소가 리소스에 로그인하려고 사용되고 있음이 로그에 표시됩니다.

  • 부적절하거나 저작권이 있는 콘텐츠의 호스팅: AWS 리소스가 불법 콘텐츠를 호스팅 또는 배포하거나 저작권 보유자의 동의 없이 저작권이 있는 콘텐츠를 배포하는 데 사용된다는 증거가 있습니다.

  • 멀웨어 배포: 설치된 컴퓨터 또는 시스템을 손상시키거나 해를 입히기 위해 의도적으로 생성된 소프트웨어를 배포하는 데 AWS 리소스가 사용된다는 증거가 있습니다.



? AWS로부터 침해 사례 보고서를 받으면 다음과 같이 조치하세요!

  1. 침해 사례 보고서를 검토하여 보고와 관련된 콘텐츠 또는 활동을 확인합니다. 침해 사례 보고서에는 해당 사례를 보여주는 로그가 포함되어 있습니다. 

  2. 침해 사례 보고서에 직접 회신하여 향후 침해 활동의 재발을 방지할 방법을 설명합니다.

참고: 24시간 이내에 침해 통지서에 응답하지 않으면 AWS에서 귀하의 리소스를 차단하거나 귀하의 AWS 계정이 일시 중지될 수 있습니다. 



더 자세한 내용은 AWS Trust & Safety 팀의 이메일 주소로 직접 회신하여 주시기 바랍니다. 


AWS Trust & Safety 팀은 기술 지원을 제공하지 않습니다. 

기술 지원이 필요하신 경우에는 저희 고객 지원 포털에 문의 남겨주시기 바랍니다.



#1 AWS 침해 사례 보고서 검토 및 대응 -

https://aws.amazon.com/ko/premiumsupport/knowledge-center/aws-abuse-report/





How to

예제: 포트 스캐닝 (Port Scanning) 의심의 Abuse report 수신


포트 스캐닝을 수행하는 인스턴스를 조사하기 위해서는 VPC 흐름 로그 (VPC Flow Logs)를 쿼리하여 

다양한 포트로 트래픽을 보내는 인스턴스를 확인할 수 있도록 VPC에서 VPC 흐름 로그를 활성화해야 합니다.


VPC 흐름 로그에서 일부 데이터를 수집한 경우, CloudWatch Logs Insights 를 사용하여 CloudWatch 로그 그룹의 데이터를 쿼리할 수 있습니다. 



다음은 이 모든 작업에 대한 수행 과정입니다.

  1. AWS Abuse team 메일에 직접 회신하여 확인 중에 있다는 내용을 공유합니다.

  2. NAT Gateway를 사용하고 있는 VPC에서 VPC 흐름 로그(VPC Flow Logs)를 활성화 합니다.

    (활성화가 이미 되어 있는 경우 4번으로 넘어갑니다.)

  1. VPC 흐름 로그에서 일부 데이터가 수집될 때 까지 기다립니다.

  2. CloudWatch 콘솔 -> 왼쪽 탐색 창의 로그 인사이트(Logs Insights)에 접속합니다.

  3. “로그 그룹 선택” 의 드롭 다운 박스에서 NAT Gateway에 대한 로그 그룹을 선택합니다.

  4. 아래 쿼리의 실행하여 NAT Gateway를 통해 가장 많은 트래픽을 보내는 인스턴스를 찾습니다.





filter (dstAddr like ‘10.10.2.68’ and srcAddr like ‘10.10.’)

| stats count(dstPort) as portsScanned by srcAddr, dstAddr, dstPort

| sort portsScanned desc

| limit 100 





이는 샘플 쿼리이며, ‘10.10.2.68’ 및 ‘10.10.’을 해당 VPC 세부 정보와 일치하도록 변경해야 합니다.

  • ‘10.10.2.68’ 은 NAT Gateway의 Private IP 주소입니다.

  • ‘10.10.’ 은 VPC CIDR 범위의 첫 두자리 입니다. 



위의 쿼리를 통해 포트 스캐닝이 의심되는 EC2 인스턴스를 식별한 뒤 시스템 점검을 수행하여야 합니다.

시스템 내에 정상적이지 않은 프로세스들이 돌고 있지 않은지, 또는 TCP dump 확인 및 시스템 접속 이력 확인 등의 점검이 필요합니다. 

*TCP dump - 서버 내의 트래픽 기록. 트래픽을 어디로 보내는지 source, destination, port 등의 정보 확인


그 후 Abuse report 에 회신하여 점검 내용 및 향후 침해 활동의 재발 방지를 위해 조치한 내용을 설명합니다.





Conclusions


  • Abuse report 를 수신하면 해당 보고서를 검토하여 보고와 관련된 콘텐츠 또는 활동을 확인합니다. 보고서에는 해당 사례를 보여주는 로그가 포함되어 있습니다. 

  • 침해 사례 보고서에 직접 회신하여 향후 침해 활동의 재발을 방지할 방법을 설명합니다.

  • 24시간 이내에 보고서에 응답하지 않으면 AWS에서 귀하의 리소스를 차단하거나 귀하의 AWS 계정이 일시 중지될 수 있습니다.