MITRE ATT&CK入門～攻撃者はAWSの侵害をどう進めるのか～

Transcript

1. MITRE ATT&CK入門 ～攻撃者はAWSの侵害をどう進めるのか～ 2025/4/21 Toranomon TechHub#3 技術異種格闘技戦～好きな技術LT大会～ @_takahash

2. おことわり • 本資料はMITRE ATT&CKについての情報提供を目的としてお り、攻撃を促す意図は全くありません

3. 自己紹介 • Hiroki Takahshi (@_takahash) • CCoE的なお仕事してます • 社内AWS基盤の運用 •

   ガイドライン整備 • クラウド人材育成 • Like • CDK, ECS, EKS • Others • 2024 Japan AWS Top Engineers 3

4. もくじ • はじめに • MITRE ATT&CKとは • AWS侵害の進み方 • 事例マッピング

   • まとめ

5. はじめに

6. ボードゲーム 相手の動きを予測し、数手先を読むのが面白い

7. サイバーセキュリティとの共通点 攻撃者はどう動くかを予測することは非常に効果的 https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html Pyramid of Pain その他の共通点： 予算（駒）は限られている リスクベースの思考を要する （攻める？守る？）

8. MITRE ATT&CKとは

9. MITRE ATT&CKとは 攻撃者の実際の行動パターンを体系化したナレッジベース • ATT&CKとは • Adversarial Tactics, Techniques, and

   Common Knowledge • 直訳すると「敵対的な戦術、技術および共通知識」 • 米国の政府系非営利団体MITREが開発・運用・維持している • MITREはCVEの発行元でもある • 最近CVEの運営資金が打ち切られると話題になりましたね • 半年ごとに更新される • 攻撃ごとに解説と対策がまとめられている • 実際の攻撃事例に基づいている点が特徴 • 脅威モデリングでよく利用されるSTRIDEは抽象的。具体的な攻撃を考える場合に併用される関係性 • AWS版も公開されている（Ver12.12 2024)

10. MITRE ATT&CK Matrix https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json

11. Tactics（戦術） ライフサイクルごとの攻撃者の目的。14に分類されている。 https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json 右に行くほど段階が進む 注： すべての攻撃がこの順番で 進むわけではない。攻撃に よっては戦術が飛ばされた り、止まったりする

12. Techniques/Sub-Techineques（技術） 攻撃者が扱う攻撃手法 https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json # T1078: Valid Accounts 攻撃手法の概要の説明 ##

    Procedure Examples 具体的な攻撃手順 ## Mitigations 攻撃を緩和するための方法 ## Detection 攻撃手段を検知するための方法 ## References リンク 詳細表示

13. AWS侵害の進み方

14. Initial Access 認証情報や脆弱性を利用した環境への侵入 • T1190: Exploit Public-Facing Application • Lambda

    Function URLにOSコマンドインジェクションを行い、 AWS_SECRET_ACCESS_KEYなどクレデンシャルが格納された環境変数の値 を取得。 • T1078: Valid Accounts • AWS IAMユーザー認証情報の漏洩や盗難により、攻撃者が正規のアクセス権 を獲得。GitHub等のコード管理プラットフォームに誤って公開されたアクセ スキーや、フィッシングで盗まれた認証情報を使用して侵入。 • T1133: External Remote Services • SSHやRDPなどのリモート管理プロトコルが公開されているEC2インスタン スへの攻撃。セキュリティグループの設定ミスにより過剰に許可されたポー トや、弱いパスワード認証を突いた侵入。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

15. Execution 悪意のある操作の実行 • T1059: Command and Scripting Interpreter • 侵害されたEC2インスタンス上でのコマンド実行。AWS

    Systems Manager （SSM）の機能を悪用した複数のインスタンスへのコマンド実行。AWS Lambda関数の改ざんによるコード実行。 • T1204: User Execution • 管理者に対するフィッシングによりAWS Management Consoleでの悪意の あるアクションを誘導。CloudFormationテンプレートやTerraformスクリプ トの改ざんによる自動化プロセスでの悪意のあるコード実行。 • T1053: Scheduled Task/Job • CloudWatchイベントルールやEventBridgeの悪用。EC2上のcronジョブの改 変。AWS Batchジョブの挿入による定期的なマルウェア実行。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

16. Persistence バックドアの作成などアクセス可能な状態の維持 • T1136: Create Account • 侵害後に新たなIAMユーザーやロールの作成。バックドアアクセス用 のIAMアクセスキーの生成。 •

    T1098: Account Manipulation • 既存IAMポリシーの変更や新規ポリシーの追加による権限昇格。既存 のEC2インスタンスへのSSHキーの追加。IAMユーザーのMFA無効化 などのセキュリティ設定の変更。 • T1525: Implant Internal Image • マルウェアを含むAMI（Amazon Machine Image）の作成。ECRリポ ジトリへの悪意のあるコンテナイメージのプッシュ。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

17. Privilege Escalation 権限昇格 • T1548: Abuse Elevation Control Mechanism •

    IAMロール昇格の悪用。iam:Passroleを持つIAMユーザを侵害し、管理者権 限をLambdaに割り当てる。EC2インスタンスプロファイルからの過剰な権 限の取得。一時的な認証情報（STS）の悪用によるアクセス権限の拡大。 • T1134: Access Token Manipulation • STSサービスを通じて取得した一時的な認証情報の操作。AssumeRole APIの 悪用によるロールチェーンの実行。EC2メタデータサービスからの認証情報 取得。 • T1068: Exploitation for Privilege Escalation • IAMポリシーの設定ミスや脆弱性の悪用。AWS特権分離の設計上の欠陥を突 いた攻撃。マネージドサービスの脆弱性を利用した権限昇格。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

18. Defense Evasion 検出機構の回避 • T1562: Impair Defenses • CloudTrailログの削除や無効化。GuardDutyやSecurityHubなどのセ キュリティサービスの無効化。VPCフローログやConfig

    Rulesの停止。 • T1070: Indicator Removal on Host • EC2インスタンス上のログファイルの削除。CloudWatchログの改ざん や削除。S3バケットのアクセスログの消去。 • T1578: Modify Cloud Compute Infrastructure • 証拠隠滅のための侵害されたリソースの削除。検知を回避するための リージョン間でのリソースの移動。セキュリティグループルールの変 更による監視の回避。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

19. Credential Access クレデンシャルやAPIキーなどの資格情報の取得 • T1555: Credentials from Password Stores •

    EC2インスタンスからのAWS認証情報ファイルの抽出。Systems Manager Parameter Storeに保存された認証情報の取得。Secrets Managerからのシー クレット漏洩。 • T1552: Unsecured Credentials • EC2ユーザーデータに埋め込まれた認証情報の発見。S3バケット内の設定 ファイルからの認証情報抽出。EBSボリュームスナップショットからの認証 情報復元。 • T1528: Steal Application Access Token • EC2インスタンスメタデータサービスからのIAMロール認証情報の窃取。 Lambdaの環境変数からの認証情報抽出。Cognitoトークンの傍受と悪用。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

20. Discovery 環境内のリソースや設定の把握 • T1087: Account Discovery • IAM ListUsers、ListRoles、ListGroups APIの使用によるアカウント構造の

    把握。Organizations APIを使用した組織全体のアカウント構造の調査。 • T1518: Software Discovery • EC2インスタンス上で実行されているサービスの列挙。ECSクラスタ内のコ ンテナイメージの調査。RDSインスタンスやElasticacheなどのマネージド サービスのバージョン情報の収集。 • T1580: Cloud Infrastructure Discovery • EC2 DescribeInstances APIを使用したインスタンス一覧の取得。VPC、サ ブネット、セキュリティグループなどのネットワーク設定の調査。S3バケッ トの列挙と権限設定の確認。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

21. Lateral Movement 侵害の横展開 • T1563: Remote Service Session Hijacking •

    EC2インスタンス間でのSSHセッションの傍受。セッショントークンの盗用 によるコンソールアクセスのハイジャック。共有EBSボリュームを介した セッション情報の取得。 • T1021: Remote Services • EC2インスタンス間でのSSH/RDP接続の悪用。Systems Manager Session Managerの悪用。VPC内の脆弱なサービス間の移動。 • T1550: Use Alternate Authentication Material • 盗んだIAMアクセスキーを使用した別アカウントへの移動。EC2インスタン スプロファイルの認証情報を使った他サービスへのアクセス。STSトークン の再利用。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

22. Collection 環境内の価値のあるデータの収集 • T1530: Data from Cloud Storage Object •

    S3バケットからの機密データの抽出。EBSスナップショットからのデータ復 元と取得。RDSスナップショットからのデータベース情報の抽出。 • T1213: Data from Information Repositories • DynamoDB、RDS、DocumentDBなどのデータベースサービスからの情報収 集。CodeCommit、S3に保存されたソースコードリポジトリからの情報漏洩。 • T1005: Data from Local System • EC2インスタンス上のローカルファイルシステムからのデータ収集。コンテ ナ内のデータ収集。Lambda実行環境内の一時ファイルからの情報取得。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

23. Command and Control 指揮統制 • T1105: Ingress Tool Transfer •

    侵害されたEC2インスタンスへのマルウェアのダウンロード。S3バ ケットを中継点として使用したツールの転送。Lambdaへの悪意のあ るライブラリのデプロイ。 • T1571: Non-Standard Port • 通常許可されているポート（HTTPS:443など）以外を使った悪意のあ る通信。セキュリティグループで許可された正規サービスポートを悪 用したC2通信。 • T1572: Protocol Tunneling • SSHトンネリングを使用した検知回避。ICMP/DNSなどを使って任意 データをC2に通信。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

24. Exfiltration データの漏洩 • T1537: Transfer Data to Cloud Account •

    攻撃者管理のS3バケットへのデータコピー。別AWS地域の侵害済みア カウントへのデータ転送。攻撃者管理のECRリポジトリへのコンテナ イメージとしてのデータ流出。 • T1048: Exfiltration Over Alternative Protocol • C2チャネルで使用するプロトコル以外をデータ漏洩に利用。例えば DNSプロトコルで指示を行うが、データ流出はAWS APIで行うなど。 • T1567: Exfiltration Over Web Service • 攻撃者自前のサービスではなく、S3など一般的に利用されるWebサー ビスを経由したデータのアップロード。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

25. Impact サービス停止やデータの破壊・改ざん • T1499: Endpoint Denial of Service • EC2インスタンスリソースの枯渇攻撃。Lambda同時実行数の上限到達

    による機能停止。RDSの接続枯渇によるデータベースサービス停止。 • T1485: Data Destruction • S3バケット内のオブジェクト削除。EBSボリュームの破壊やスナップ ショットの削除。RDSインスタンスやバックアップの削除。 • T1496: Resource Hijacking • EC2インスタンスでの暗号通貨マイニング。AWSリソースを利用した 大規模なボットネット構築。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

26. 事例マッピング

27. データ漏洩事例 1億人以上の個人情報が漏洩した（2019年） 1 2 3 ①Tor経由でAWSにアクセス。WAFを介してインスタンスメタデータに接続 ②IAM Roleの認証情報を取得 ③S3をリストし、syncを実行

28. MITRE ATT&CKを利用することで 侵害を体系的に整理できる Tactics Tactics Controls Initial Access WAFが適切に設定されておらずSSRFを許 した

    Torからのアクセスを検知できなかった AWS WAFの利用 GuardDutyによるTorア クセスの検知 Credential Access SSRFにより攻撃者はEC2のインスタンスメ タデータサービスにアクセスできた。当時 はIMDSv1しかなかった。 IMDSv2の利用 Priviledge Escalation 取得した認証情報は過剰な権限を持つIAM ロールに紐づいていたのでS3バケットへの アクセスが可能になった IAM Access Analyzerに よる権限の棚卸 Discovery 攻撃者は取得した権限を利用して、IAMの 権限を把握。s3 lsでバケット一覧を取得。 価値のあるバケットを発見。 IAM PolicyによるS3バ ケットのリストの制限 Collection&Exfiltration 最終的に攻撃者は1億件のレコードにアクセ スし、データを外部に持ち出し バケットポリシーでS3 のアクセスを特定VPCか らにのみ制限

29. まとめ

30. まとめ • MITRE ATT&CKの概要と、AWSでの侵害の進み方について紹 介しました • 今後サイバー攻撃でも（生成）AIの活用が進み、攻撃はより高 度化・高速化するのではと考えています • TacticsごとにAIエージェントを作って連動させる、など

    • 守る側も生成AIを活用した運用の高度化やセキュリティ対応の自動化 がより一層求められてくるでしょう • 今回の発表が何かのお役に立てば幸いです