Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MITRE ATT&CK入門~攻撃者はAWSの侵害をどう進めるのか~

Avatar for takahash takahash
April 21, 2025
1
110

MITRE ATT&CK入門~攻撃者はAWSの侵害をどう進めるのか~

Avatar for takahash

takahash

April 21, 2025
Tweet

More Decks by takahash

See All by takahash
コンテナでLambdaをデプロイするときに知っておきたかったこと
Avatar for takahash _takahash
0
200
EKS Auto ModeではじめるEKS / lets-start-eks-auto-mode
Avatar for takahash _takahash
1
550
Seekable OCI (SOCI) によるコンテナ起動の高速化
Avatar for takahash _takahash
3
760
AWS Copilotを CDKでカスタマイズする
Avatar for takahash _takahash
2
3.9k

Featured

See All Featured
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.2k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
780
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
329
24k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.8k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.4k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1030
460k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
187
11k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
110k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
280
13k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
29
920

Transcript

  1. MITRE ATT&CK入門 ~攻撃者はAWSの侵害をどう進めるのか~ 2025/4/21 Toranomon TechHub#3 技術異種格闘技戦~好きな技術LT大会~ @_takahash

  2. おことわり • 本資料はMITRE ATT&CKについての情報提供を目的としてお り、攻撃を促す意図は全くありません

  3. 自己紹介 • Hiroki Takahshi (@_takahash) • CCoE的なお仕事してます • 社内AWS基盤の運用 •

    ガイドライン整備 • クラウド人材育成 • Like • CDK, ECS, EKS • Others • 2024 Japan AWS Top Engineers 3

  4. もくじ • はじめに • MITRE ATT&CKとは • AWS侵害の進み方 • 事例マッピング

    • まとめ

  5. はじめに

  6. ボードゲーム 相手の動きを予測し、数手先を読むのが面白い

  7. サイバーセキュリティとの共通点 攻撃者はどう動くかを予測することは非常に効果的 https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html Pyramid of Pain その他の共通点: 予算(駒)は限られている リスクベースの思考を要する (攻める?守る?)

  8. MITRE ATT&CKとは

  9. MITRE ATT&CKとは 攻撃者の実際の行動パターンを体系化したナレッジベース • ATT&CKとは • Adversarial Tactics, Techniques, and

    Common Knowledge • 直訳すると「敵対的な戦術、技術および共通知識」 • 米国の政府系非営利団体MITREが開発・運用・維持している • MITREはCVEの発行元でもある • 最近CVEの運営資金が打ち切られると話題になりましたね • 半年ごとに更新される • 攻撃ごとに解説と対策がまとめられている • 実際の攻撃事例に基づいている点が特徴 • 脅威モデリングでよく利用されるSTRIDEは抽象的。具体的な攻撃を考える場合に併用される関係性 • AWS版も公開されている(Ver12.12 2024)

  10. MITRE ATT&CK Matrix https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json

  11. Tactics(戦術) ライフサイクルごとの攻撃者の目的。14に分類されている。 https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json 右に行くほど段階が進む 注: すべての攻撃がこの順番で 進むわけではない。攻撃に よっては戦術が飛ばされた り、止まったりする

  12. Techniques/Sub-Techineques(技術) 攻撃者が扱う攻撃手法 https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/mappings-explorer/data/aws/attack- 16.1/aws-12.12.2024/enterprise/aws-12.12.2024_attack-16.1-enterprise_navigator_layer.json # T1078: Valid Accounts 攻撃手法の概要の説明 ##

    Procedure Examples 具体的な攻撃手順 ## Mitigations 攻撃を緩和するための方法 ## Detection 攻撃手段を検知するための方法 ## References リンク 詳細表示

  13. AWS侵害の進み方

  14. Initial Access 認証情報や脆弱性を利用した環境への侵入 • T1190: Exploit Public-Facing Application • LambdaにOSコマンドのインジェクションを行い、

    AWS_SECRET_ACCESS_KEYなどクレデンシャルが格納された環境変数の値 を取得 • T1078: Valid Accounts • AWS IAMユーザー認証情報の漏洩や盗難により、攻撃者が正規のアクセス権 を獲得。GitHub等のコード管理プラットフォームに誤って公開されたアクセ スキーや、フィッシングで盗まれた認証情報を使用して侵入 • T1133: External Remote Services • SSHやRDPなどのリモート管理プロトコルが公開されているEC2インスタン スへの攻撃。セキュリティグループの設定ミスにより過剰に許可されたポー トや、弱いパスワード認証を突いた侵入。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  15. Execution 悪意のある操作の実行 • T1059: Command and Scripting Interpreter • 侵害されたEC2インスタンス上でのコマンド実行。AWS

    Systems Manager (SSM)の機能を悪用した複数のインスタンスへのコマンド実行。AWS Lambda関数の改ざんによるコード実行 • T1204: User Execution • 管理者に対するフィッシングによりAWS Management Consoleでの悪意の あるアクションを誘導。CloudFormationテンプレートやTerraformスクリプ トの改ざんによる自動化プロセスでの悪意のあるコード実行。 • T1053: Scheduled Task/Job • CloudWatchイベントルールやEventBridgeの悪用。EC2上のcronジョブの改 変。AWS Batchジョブの挿入による定期的なマルウェア実行。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  16. Persistence バックドアの作成などアクセス可能な状態の維持 • T1136: Create Account • 侵害後に新たなIAMユーザーやロールの作成。バックドアアクセス用のIAM アクセスキーの生成。CloudTrailなどのログ機能を無効化した新規ユーザー の作成。

    • T1098: Account Manipulation • 既存IAMポリシーの変更や新規ポリシーの追加による権限昇格。既存のEC2 インスタンスへのSSHキーの追加。IAMユーザーのMFA無効化などのセキュ リティ設定の変更。 • T1525: Implant Internal Image • マルウェアを含むAMI(Amazon Machine Image)の作成。ECRリポジトリ への悪意のあるコンテナイメージのプッシュ。Lambda層への悪意のある コードの追加。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  17. Privilege Escalation 権限昇格 • T1548: Abuse Elevation Control Mechanism •

    IAMロール昇格の悪用。iam:Passroleを持つIAMユーザを侵害し、管理者権 限をLambdaに割り当てる。EC2インスタンスプロファイルからの過剰な権 限の取得。一時的な認証情報(STS)の悪用によるアクセス権限の拡大。 • T1134: Access Token Manipulation • STSサービスを通じて取得した一時的な認証情報の操作。AssumeRole APIの 悪用によるロールチェーンの実行。EC2メタデータサービスからの認証情報 取得。 • T1068: Exploitation for Privilege Escalation • AWS環境では:IAMポリシーの設定ミスや脆弱性の悪用。AWS特権分離の設 計上の欠陥を突いた攻撃。マネージドサービスの脆弱性を利用した権限昇格。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  18. Defense Evasion 検出機構の回避 • T1562: Impair Defenses • CloudTrailログの削除や無効化。GuardDutyやSecurityHubなどのセ キュリティサービスの無効化。VPCフローログやConfig

    Rulesの停止。 • T1070: Indicator Removal on Host • EC2インスタンス上のログファイルの削除。CloudWatchログの改ざん や削除。S3バケットのアクセスログの消去。 • T1578: Modify Cloud Compute Infrastructure • 証拠隠滅のための侵害されたリソースの削除。検知を回避するための リージョン間でのリソースの移動。セキュリティグループルールの変 更による監視の回避。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  19. Credential Access クレデンシャルやAPIキーなどの資格情報の取得 • T1555: Credentials from Password Stores •

    EC2インスタンスからのAWS認証情報ファイルの抽出。Systems Manager Parameter Storeに保存された認証情報の取得。Secrets Managerからのシー クレット漏洩。 • T1552: Unsecured Credentials • EC2ユーザーデータに埋め込まれた認証情報の発見。S3バケット内の設定 ファイルからの認証情報抽出。EBSボリュームスナップショットからの認証 情報復元。 • T1528: Steal Application Access Token • EC2インスタンスメタデータサービスからのIAMロール認証情報の窃取。 Lambdaの環境変数からの認証情報抽出。Cognitoトークンの傍受と悪用。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  20. Discovery 環境内のリソースや設定の把握 • T1087: Account Discovery • IAM ListUsers、ListRoles、ListGroups APIの使用によるアカウント構造の

    把握。Organizations APIを使用した組織全体のアカウント構造の調査。 • T1518: Software Discovery • EC2インスタンス上で実行されているサービスの列挙。ECSクラスタ内のコ ンテナイメージの調査。RDSインスタンスやElasticacheなどのマネージド サービスのバージョン情報の収集。 • T1580: Cloud Infrastructure Discovery • EC2 DescribeInstances APIを使用したインスタンス一覧の取得。VPC、サ ブネット、セキュリティグループなどのネットワーク設定の調査。S3バケッ トの列挙と権限設定の確認。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  21. Lateral Movement 侵害の横展開 • T1563: Remote Service Session Hijacking •

    EC2インスタンス間でのSSHセッションの傍受。セッショントークンの盗用 によるコンソールアクセスのハイジャック。共有EBSボリュームを介した セッション情報の取得。 • T1021: Remote Services • EC2インスタンス間でのSSH/RDP接続の悪用。Systems Manager Session Managerの悪用。VPC内の脆弱なサービス間の移動。 • T1550: Use Alternate Authentication Material • 盗んだIAMアクセスキーを使用した別アカウントへの移動。EC2インスタン スプロファイルの認証情報を使った他サービスへのアクセス。STSトークン の再利用。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  22. Collection 環境内の価値のあるデータの収集 • T1530: Data from Cloud Storage Object •

    S3バケットからの機密データの抽出。EBSスナップショットからのデータ復 元と取得。RDSスナップショットからのデータベース情報の抽出。 • T1213: Data from Information Repositories • DynamoDB、RDS、DocumentDBなどのデータベースサービスからの情報収 集。CodeCommit、S3に保存されたソースコードリポジトリからの情報漏洩。 • T1005: Data from Local System • EC2インスタンス上のローカルファイルシステムからのデータ収集。コンテ ナ内のデータ収集。Lambda実行環境内の一時ファイルからの情報取得。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  23. Command and Control 指揮統制 • T1105: Ingress Tool Transfer •

    侵害されたEC2インスタンスへのマルウェアのダウンロード。S3バ ケットを中継点として使用したツールの転送。Lambdaへの悪意のあ るライブラリのデプロイ。 • T1571: Non-Standard Port • 通常許可されているHTTPSポート(443)を使った悪意のある通信。 セキュリティグループで許可された正規サービスポートを悪用したC2 通信。DNS経由のデータ漏洩。 • T1572: Protocol Tunneling • HTTPSやDNSトンネリングを使用した検知回避。S3 APIリクエストに 埋め込まれたC2通信。CloudFrontを介したトラフィック偽装。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  24. Exfiltration データの漏洩 • T1537: Transfer Data to Cloud Account •

    攻撃者管理のS3バケットへのデータコピー。別AWS地域の侵害済みアカウン トへのデータ転送。攻撃者管理のECRリポジトリへのコンテナイメージとし てのデータ流出。 • T1048: Exfiltration Over Alternative Protocol • DNS経由のデータ流出。HTTPS PUT/POST要求を使用したS3 APIによる データ流出。CloudFrontディストリビューションを介した検知回避型データ 転送。 • T1567: Exfiltration Over Web Service • 正規のAWS APIを使用したデータ転送によるログ混同。S3マルチパートアッ プロードAPIを使用した検 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  25. Impact サービス停止やデータの破壊・改ざん • T1499: Endpoint Denial of Service • EC2インスタンスリソースの枯渇攻撃。Lambda同時実行数の上限到達

    による機能停止。RDSの接続枯渇によるデータベースサービス停止。 • T1485: Data Destruction • S3バケット内のオブジェクト削除。EBSボリュームの破壊やスナップ ショットの削除。RDSインスタンスやバックアップの削除。 • T1496: Resource Hijacking • EC2インスタンスでの暗号通貨マイニング。AWSリソースを利用した 大規模なボットネット構築。Lambda関数を利用した分散型計算タス クの実行。 Initial Access Execution Persistence Priviledge Escalation Defanse Evasion Credential Access Discovery C&C Lateral Movement Collection Exfiltraion Impact

  26. 事例マッピング

  27. データ漏洩事例 1億人以上の個人情報が漏洩した(2019年) 1 2 3 ①Tor経由でAWSにアクセス。WAFを介してインスタンスメタデータに接続 ②IAM Roleの認証情報を取得 ③S3をリストし、syncを実行

  28. MITRE ATT&CKを利用することで 侵害を体系的に整理できる Tactics Tactics Controls Initial Access WAFが適切に設定されておらずSSRFを許 した

    Torからのアクセスを検知できなかった AWS WAFの利用 GuardDutyによるTorア クセスの検知 Credential Access SSRFにより攻撃者はEC2のインスタンスメ タデータサービスにアクセスできた。当時 はIMDSv1しかなかった。 IMDSv2の利用 Priviledge Escalation 取得した認証情報は過剰な権限を持つIAM ロールに紐づいていたのでS3バケットへの アクセスが可能になった IAM Access Analyzerに よる権限の棚卸 Discovery 攻撃者は取得した権限を利用して、IAMの 権限を把握。s3 lsでバケット一覧を取得。 価値のあるバケットを発見。 IAM PolicyによるS3バ ケットのリストの制限 Collection&Exfiltration 最終的に攻撃者は1億件のレコードにアクセ スし、データを外部に持ち出し バケットポリシーでS3 のアクセスを特定VPCか らにのみ制限

  29. まとめ

  30. まとめ • MITRE ATT&CKの概要と、AWSでの侵害の進み方について紹 介しました • 今後サイバー攻撃でも(生成)AIの活用が進み、攻撃はより高 度化・高速化するのではと考えています • TacticsごとにAIエージェントを作って連動させる、など

    • 守る側も生成AIを活用した運用の高度化やセキュリティ対応の自動化 がより一層求められてくるでしょう • 今回の発表が何かのお役に立てば幸いです