Nuevo para Amazon GuardDuty: detección de malware para volúmenes de Amazon EBS | Servicios web de Amazon

Con Amazon GuardDuty, puede monitorear sus cuentas y cargas de trabajo de AWS para detectar actividades maliciosas. Hoy, agregamos a GuardDuty la capacidad de detectar malware. El malware es software malicioso que se utiliza para comprometer cargas de trabajo, reutilizar recursos u obtener acceso no autorizado a los datos. Cuando tengas Protección contra malware GuardDuty habilitado, se inicia un análisis de malware cuando GuardDuty detecta que una de sus instancias EC2 o cargas de trabajo de contenedor que se ejecutan en EC2 está haciendo algo sospechoso. Por ejemplo, se activa un análisis de malware cuando una instancia EC2 se comunica con un servidor de comando y control que se sabe que es malicioso o realiza ataques de denegación de servicio (DoS) o de fuerza bruta contra otras instancias EC2.

GuardDuty es compatible con muchos tipos de sistemas de archivos y escanea formatos de archivo que se sabe que se usan para propagar o contener malware, incluidos ejecutables de Windows y Linux, archivos PDF, archivos comprimidos, binarios, scripts, instaladores, bases de datos de correo electrónico y correos electrónicos sin formato.

Cuando se identifica malware potencial, se generan hallazgos de seguridad procesables con información como la amenaza y el nombre del archivo, la ruta del archivo, la ID de la instancia EC2, las etiquetas de recursos y, en el caso de los contenedores, la ID del contenedor y la imagen del contenedor utilizada. GuardDuty admite cargas de trabajo de contenedores que se ejecutan en EC2, incluidas las administradas por el cliente Kubernetes grupos o individuales Contenedores Docker. Si el contenedor está administrado por Amazon Elastic Kubernetes Service (EKS) o Amazon Elastic Container Service (Amazon ECS), los resultados también incluyen el nombre del clúster y la tarea o vaina ID para que los equipos de aplicaciones y seguridad puedan encontrar rápidamente los recursos del contenedor afectado.

Al igual que con todos los demás hallazgos de GuardDuty, las detecciones de malware se envían a la consola de GuardDuty, se envían a través de Amazon EventBridge, se enrutan a AWS Security Hub y se ponen a disposición en Amazon Detective para la investigación de incidentes.

Cómo funciona la protección contra malware de GuardDuty
Cuando habilita la protección contra malware, configura un rol vinculado al servicio de AWS Identity and Access Management (IAM) que otorga permisos a GuardDuty para realizar escaneos de malware. Cuando se inicia un análisis de malware para una instancia EC2, GuardDuty Malware Protection usa esos permisos para tomar una instantánea de los volúmenes de Amazon Elastic Block Store (EBS) adjuntos que tienen menos de 1 TB de tamaño y luego restaurar los volúmenes de EBS en un servicio de AWS cuenta en la misma región de AWS para escanearlos en busca de malware. Puede usar el etiquetado para incluir o excluir instancias EC2 de esos permisos y del análisis. De esta manera, no necesita implementar software de seguridad o agentes para monitorear el malware, y escanear los volúmenes no afecta las cargas de trabajo en ejecución. Los volúmenes de EBS en la cuenta de servicio y las instantáneas en su cuenta se eliminan después del escaneo. Opcionalmente, puede conservar las instantáneas cuando se detecta malware.

El rol vinculado al servicio otorga a GuardDuty acceso a las claves de AWS Key Management Service (AWS KMS) utilizadas para cifrar volúmenes de EBS. Si los volúmenes de EBS adjuntos a una instancia EC2 potencialmente comprometida se cifran con una clave administrada por el cliente, GuardDuty Malware Protection usa la misma clave para cifrar también los volúmenes de réplica de EBS. Si los volúmenes no están cifrados, GuardDuty utiliza su propia clave para cifrar los volúmenes de réplica de EBS y garantizar la privacidad. No se admiten los volúmenes cifrados con claves administradas por EBS.

La seguridad en la nube es una responsabilidad compartida entre usted y AWS. Como medida de seguridad, el rol vinculado al servicio utilizado por GuardDuty Malware Protection no puede realizar ninguna operación en sus recursos (como instantáneas y volúmenes de EBS, instancias EC2 y claves KMS) si tiene la GuardDutyExcluded etiqueta. Una vez que marque sus instantáneas con GuardDutyExcluded ajustado a true, el servicio GuardDuty no podrá acceder a estas instantáneas. los GuardDutyExcluded La etiqueta reemplaza cualquier etiqueta de inclusión. Los permisos también restringen cómo GuardDuty puede modificar su instantánea para que no se pueda hacer pública mientras se comparte con la cuenta de servicio de GuardDuty.

Los volúmenes de EBS creados por GuardDuty siempre están encriptados. GuardDuty puede usar claves de KMS solo en instantáneas de EBS que tengan una etiqueta de ID de exploración de GuardDuty. GuardDuty agrega la etiqueta de ID de escaneo cuando se crean instantáneas después de un hallazgo de EC2. Las claves de KMS que se comparten con la cuenta del servicio GuardDuty no se pueden invocar desde ningún otro contexto, excepto el servicio de Amazon EBS. Una vez que el escaneo se completa con éxito, se revoca la concesión de la clave KMS y se elimina la réplica del volumen en la cuenta del servicio GuardDuty, asegurándose de que el servicio GuardDuty no pueda acceder a sus datos después de completar la operación de escaneo.

Habilitación de la protección contra malware para una cuenta de AWS
Si aún no usa GuardDuty, la protección contra malware está habilitada de forma predeterminada cuando activa GuardDuty para su cuenta. Debido a que ya uso GuardDuty, necesito habilitar la protección contra malware desde la consola. Si está utilizando AWS Organizations, sus cuentas de administrador delegadas pueden habilitar esto para las cuentas de miembros existentes y configurar si las nuevas cuentas de AWS en la organización deben inscribirse automáticamente.

En la consola de GuardDuty, elijo Protección de malware por debajo Ajustes en el panel de navegación. ahí elijo Habilitar y entonces Habilitar protección contra malware.

Las instantáneas se eliminan automáticamente después de escanearlas. En Configuración generaltengo la opción de conservar en mi cuenta de AWS las instantáneas donde se detecta malware y tenerlas disponibles para su posterior análisis.

En Opciones de escaneopuedo configurar una lista de etiquetas de inclusión, de modo que solo se analicen las instancias de EC2 con esas etiquetas, o las etiquetas de exclusión, de modo que se omitan las instancias de EC2 con etiquetas en la lista.

Prueba de protección contra malware Hallazgos de GuardDuty
Para generar varios hallazgos de Amazon GuardDuty, incluidos los nuevos hallazgos de Malware Protection, clono el Repositorio del probador de Amazon GuardDuty:

$ git clone https://github.com/awslabs/amazon-guardduty-tester

Primero, creo una pila de AWS CloudFormation usando el guardduty-tester.template expediente. Cuando la pila está lista, sigo las instrucciones para configurar mi cliente SSH para iniciar sesión en la instancia de prueba a través del host bastión. Luego, me conecto a la instancia del probador:

Desde la instancia del probador, comienzo el guardduty_tester.sh script para generar los resultados:

$ ./guardduty_tester.sh 

***********************************************************************
* Test #1 - Internal port scanning                                    *
* This simulates internal reconaissance by an internal actor or an   *
* external actor after an initial compromise. This is considered a    *
* low priority finding for GuardDuty because its not a clear indicator*
* of malicious intent on its own.                                     *
***********************************************************************


Starting Nmap 6.40 ( http://nmap.org ) at 2022-05-19 09:36 UTC
Nmap scan report for ip-172-16-0-20.us-west-2.compute.internal (172.16.0.20)
Host is up (0.00032s latency).
Not shown: 997 filtered ports
PORT     STATE  SERVICE
22/tcp   open   ssh
80/tcp   closed http
5050/tcp closed mmcc
MAC Address: 06:25:CB:F4:E0:51 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 4.96 seconds

-----------------------------------------------------------------------

***********************************************************************
* Test #2 - SSH Brute Force with Compromised Keys                     *
* This simulates an SSH brute force attack on an SSH port that we    *
* can access from this instance. It uses (phony) compromised keys in  *
* many subsequent attempts to see if one works. This is a common      *
* techique where the bad actors will harvest keys from the web in     *
* places like source code repositories where people accidentally leave*
* keys and credentials (This attempt will not actually succeed in     *
* obtaining access to the target linux instance in this subnet)       *
***********************************************************************

2022-05-19 09:36:29 START
2022-05-19 09:36:29 Crowbar v0.4.3-dev
2022-05-19 09:36:29 Trying 172.16.0.20:22
2022-05-19 09:36:33 STOP
2022-05-19 09:36:33 No results found...
2022-05-19 09:36:33 START
2022-05-19 09:36:33 Crowbar v0.4.3-dev
2022-05-19 09:36:33 Trying 172.16.0.20:22
2022-05-19 09:36:37 STOP
2022-05-19 09:36:37 No results found...
2022-05-19 09:36:37 START
2022-05-19 09:36:37 Crowbar v0.4.3-dev
2022-05-19 09:36:37 Trying 172.16.0.20:22
2022-05-19 09:36:41 STOP
2022-05-19 09:36:41 No results found...
2022-05-19 09:36:41 START
2022-05-19 09:36:41 Crowbar v0.4.3-dev
2022-05-19 09:36:41 Trying 172.16.0.20:22
2022-05-19 09:36:45 STOP
2022-05-19 09:36:45 No results found...
2022-05-19 09:36:45 START
2022-05-19 09:36:45 Crowbar v0.4.3-dev
2022-05-19 09:36:45 Trying 172.16.0.20:22
2022-05-19 09:36:48 STOP
2022-05-19 09:36:48 No results found...
2022-05-19 09:36:49 START
2022-05-19 09:36:49 Crowbar v0.4.3-dev
2022-05-19 09:36:49 Trying 172.16.0.20:22
2022-05-19 09:36:52 STOP
2022-05-19 09:36:52 No results found...
2022-05-19 09:36:52 START
2022-05-19 09:36:52 Crowbar v0.4.3-dev
2022-05-19 09:36:52 Trying 172.16.0.20:22
2022-05-19 09:36:56 STOP
2022-05-19 09:36:56 No results found...
2022-05-19 09:36:56 START
2022-05-19 09:36:56 Crowbar v0.4.3-dev
2022-05-19 09:36:56 Trying 172.16.0.20:22
2022-05-19 09:37:00 STOP
2022-05-19 09:37:00 No results found...
2022-05-19 09:37:00 START
2022-05-19 09:37:00 Crowbar v0.4.3-dev
2022-05-19 09:37:00 Trying 172.16.0.20:22
2022-05-19 09:37:04 STOP
2022-05-19 09:37:04 No results found...
2022-05-19 09:37:04 START
2022-05-19 09:37:04 Crowbar v0.4.3-dev
2022-05-19 09:37:04 Trying 172.16.0.20:22
2022-05-19 09:37:08 STOP
2022-05-19 09:37:08 No results found...
2022-05-19 09:37:08 START
2022-05-19 09:37:08 Crowbar v0.4.3-dev
2022-05-19 09:37:08 Trying 172.16.0.20:22
2022-05-19 09:37:12 STOP
2022-05-19 09:37:12 No results found...
2022-05-19 09:37:12 START
2022-05-19 09:37:12 Crowbar v0.4.3-dev
2022-05-19 09:37:12 Trying 172.16.0.20:22
2022-05-19 09:37:16 STOP
2022-05-19 09:37:16 No results found...
2022-05-19 09:37:16 START
2022-05-19 09:37:16 Crowbar v0.4.3-dev
2022-05-19 09:37:16 Trying 172.16.0.20:22
2022-05-19 09:37:20 STOP
2022-05-19 09:37:20 No results found...
2022-05-19 09:37:20 START
2022-05-19 09:37:20 Crowbar v0.4.3-dev
2022-05-19 09:37:20 Trying 172.16.0.20:22
2022-05-19 09:37:23 STOP
2022-05-19 09:37:23 No results found...
2022-05-19 09:37:23 START
2022-05-19 09:37:23 Crowbar v0.4.3-dev
2022-05-19 09:37:23 Trying 172.16.0.20:22
2022-05-19 09:37:27 STOP
2022-05-19 09:37:27 No results found...
2022-05-19 09:37:27 START
2022-05-19 09:37:27 Crowbar v0.4.3-dev
2022-05-19 09:37:27 Trying 172.16.0.20:22
2022-05-19 09:37:31 STOP
2022-05-19 09:37:31 No results found...
2022-05-19 09:37:31 START
2022-05-19 09:37:31 Crowbar v0.4.3-dev
2022-05-19 09:37:31 Trying 172.16.0.20:22
2022-05-19 09:37:34 STOP
2022-05-19 09:37:34 No results found...
2022-05-19 09:37:35 START
2022-05-19 09:37:35 Crowbar v0.4.3-dev
2022-05-19 09:37:35 Trying 172.16.0.20:22
2022-05-19 09:37:38 STOP
2022-05-19 09:37:38 No results found...
2022-05-19 09:37:38 START
2022-05-19 09:37:38 Crowbar v0.4.3-dev
2022-05-19 09:37:38 Trying 172.16.0.20:22
2022-05-19 09:37:42 STOP
2022-05-19 09:37:42 No results found...
2022-05-19 09:37:42 START
2022-05-19 09:37:42 Crowbar v0.4.3-dev
2022-05-19 09:37:42 Trying 172.16.0.20:22
2022-05-19 09:37:46 STOP
2022-05-19 09:37:46 No results found...

-----------------------------------------------------------------------

***********************************************************************
* Test #3 - RDP Brute Force with Password List                        *
* This simulates an RDP brute force attack on the internal RDP port  *
* of the windows server that we installed in the environment.  It uses*
* a list of common passwords that can be found on the web. This test  *
* will trigger a detection, but will fail to get into the target      *
* windows instance.                                                   *
***********************************************************************

Sending 250 password attempts at the windows server...
Hydra v9.4-dev (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2022-05-19 09:37:46
[WARNING] rdp servers often don't like many connections, use -t 1 or -t 4 to reduce the number of parallel connections and -W 1 or -W 3 to wait between connection to allow the server to recover
[INFO] Reduced number of tasks to 4 (rdp does not like many parallel connections)
[WARNING] the rdp module is experimental. Please test, report - and if possible, fix.
[DATA] max 4 tasks per 1 server, overall 4 tasks, 1792 login tries (l:7/p:256), ~448 tries per task
[DATA] attacking rdp://172.16.0.24:3389/
[STATUS] 1099.00 tries/min, 1099 tries in 00:01h, 693 to do in 00:01h, 4 active
1 of 1 target completed, 0 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2022-05-19 09:39:23

-----------------------------------------------------------------------

***********************************************************************
* Test #4 - CryptoCurrency Mining Activity                            *
* This simulates interaction with a cryptocurrency mining pool which *
* can be an indication of an instance compromise. In this case, we are*
* only interacting with the URL of the pool, but not downloading      *
* any files. This will trigger a threat intel based detection.        *
***********************************************************************

Calling bitcoin wallets to download mining toolkits

-----------------------------------------------------------------------

***********************************************************************
* Test #5 - DNS Exfiltration                                          *
* A common exfiltration technique is to tunnel data out over DNS      *
* to a fake domain.  Its an effective technique because most hosts    *
* have outbound DNS ports open.  This test wont exfiltrate any data,  *
* but it will generate enough unusual DNS activity to trigger the     *
* detection.                                                          *
***********************************************************************

Calling large numbers of large domains to simulate tunneling via DNS

***********************************************************************
* Test #6 - Fake domain to prove that GuardDuty is working            *
* This is a permanent fake domain that customers can use to prove that*
* GuardDuty is working.  Calling this domain will always generate the *
* Backdoor:EC2/C&CActivity.B!DNS finding type                         *
***********************************************************************

Calling a well known fake domain that is used to generate a known finding

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.5.2 <<>> GuardDutyC2ActivityB.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11495
;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;GuardDutyC2ActivityB.com.	IN	ANY

;; ANSWER SECTION:
GuardDutyC2ActivityB.com. 6943	IN	SOA	ns1.markmonitor.com. hostmaster.markmonitor.com. 2018091906 86400 3600 2592000 172800
GuardDutyC2ActivityB.com. 6943	IN	NS	ns3.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns5.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns7.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns2.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns4.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns6.markmonitor.com.
GuardDutyC2ActivityB.com. 6943	IN	NS	ns1.markmonitor.com.

;; Query time: 27 msec
;; SERVER: 172.16.0.2#53(172.16.0.2)
;; WHEN: Thu May 19 09:39:23 UTC 2022
;; MSG SIZE  rcvd: 238


*****************************************************************************************************
Expected GuardDuty Findings

Test 1: Internal Port Scanning
Expected Finding: EC2 Instance  i-011e73af27562827b  is performing outbound port scans against remote host. 172.16.0.20
Finding Type: Recon:EC2/Portscan

Test 2: SSH Brute Force with Compromised Keys
Expecting two findings - one for the outbound and one for the inbound detection
Outbound:  i-011e73af27562827b  is performing SSH brute force attacks against  172.16.0.20
Inbound:  172.16.0.25  is performing SSH brute force attacks against  i-0bada13e0aa12d383
Finding Type: UnauthorizedAccess:EC2/SSHBruteForce

Test 3: RDP Brute Force with Password List
Expecting two findings - one for the outbound and one for the inbound detection
Outbound:  i-011e73af27562827b  is performing RDP brute force attacks against  172.16.0.24
Inbound:  172.16.0.25  is performing RDP brute force attacks against  i-0191573dec3b66924
Finding Type : UnauthorizedAccess:EC2/RDPBruteForce

Test 4: Cryptocurrency Activity
Expected Finding: EC2 Instance  i-011e73af27562827b  is querying a domain name that is associated with bitcoin activity
Finding Type : CryptoCurrency:EC2/BitcoinTool.B!DNS

Test 5: DNS Exfiltration
Expected Finding: EC2 instance  i-011e73af27562827b  is attempting to query domain names that resemble exfiltrated data
Finding Type : Trojan:EC2/DNSDataExfiltration

Test 6: C&C Activity
Expected Finding: EC2 instance  i-011e73af27562827b  is querying a domain name associated with a known Command & Control server. 
Finding Type : Backdoor:EC2/C&CActivity.B!DNS

Después de unos minutos, los resultados aparecen en la consola de GuardDuty. En la parte superior, veo los archivos maliciosos encontrados por la nueva capacidad de protección contra malware. Uno de los hallazgos está relacionado con una instancia EC2, el otro con un clúster ECS.

Primero, selecciono el hallazgo relacionado con la instancia EC2. En el panel, veo la información sobre la instancia y el archivo malicioso, como el nombre del archivo y la ruta. En el Detalles del análisis de malware sección, la Identificador de búsqueda de activador apunta al hallazgo original de GuardDuty que desencadenó el análisis de malware. En mi caso, el hallazgo original fue que esta instancia EC2 estaba realizando ataques de fuerza bruta RDP contra otra instancia EC2.

Aquí, elijo Investigar con el detective y, directamente desde la consola de GuardDuty, voy a la consola de Detective para visualizar los datos de flujo de AWS CloudTrail y Amazon Virtual Private Cloud (Amazon VPC) para la instancia EC2, la cuenta de AWS y la dirección IP afectada por el hallazgo. Con Detective, puedo analizar, investigar e identificar la causa raíz de las actividades sospechosas encontradas por GuardDuty.

Cuando selecciono el hallazgo relacionado con el clúster de ECS, tengo más información sobre el recurso afectado, como los detalles del clúster de ECS, la tarea, los contenedores y las imágenes del contenedor.

El uso de los scripts de prueba de GuardDuty facilita la prueba de la integración general de GuardDuty con otros marcos de seguridad que utiliza para que pueda estar preparado cuando se detecte una amenaza real.

Comparación de la protección contra malware de GuardDuty con Amazon Inspector
En este punto, es posible que se pregunte cómo se relaciona GuardDuty Malware Protection con Amazon Inspector, un servicio que analiza las cargas de trabajo de AWS en busca de vulnerabilidades de software y exposición no deseada de la red. Los dos servicios se complementan y ofrecen diferentes capas de protección:

Amazon Inspector ofrece protección proactiva mediante la identificación y reparación de vulnerabilidades conocidas de software y aplicaciones que sirven como punto de entrada para que los atacantes comprometan recursos e instalen malware.
GuardDuty Malware Protection detecta malware que se encuentra presente en cargas de trabajo en ejecución activa. En ese momento, el sistema ya ha sido comprometido, pero GuardDuty puede limitar el tiempo de una infección y tomar medidas antes de que un sistema comprometido resulte en un evento que afecte el negocio.

Disponibilidad y precios
Amazon GuardDuty Malware Protection está disponible hoy en todas las regiones de AWS donde GuardDuty está disponible, excepto las regiones de AWS China (Pekín), AWS China (Ningxia), AWS GovCloud (EE. UU. Este) y AWS GovCloud (EE. UU. Oeste).

En el lanzamiento, GuardDuty Malware Protection está integrado con estas ofertas de socios:

Con GuardDuty, no necesita implementar software o agentes de seguridad para monitorear el malware. Solo paga por la cantidad de GB escaneados en los sistemas de archivos (no por el tamaño de los volúmenes de EBS) y por las instantáneas de EBS durante el tiempo que se mantienen en su cuenta. Todas las instantáneas de EBS creadas por GuardDuty se eliminan automáticamente después de escanearlas, a menos que habilite la retención de instantáneas cuando se encuentra malware. Para obtener más información, consulte los precios de GuardDuty y los precios de EBS. Tenga en cuenta que GuardDuty solo analiza volúmenes de EBS de menos de 1 TB de tamaño. Para ayudarlo a controlar los costos y evitar la repetición de alarmas, el mismo volumen no se escanea más de una vez cada 24 horas.

Detecte actividad maliciosa y proteja sus aplicaciones contra malware con Amazon GuardDuty.

— Danilo

Fuente

Nuevas revisiones y pedidos anticipados de lentes Sony 16-25 mm G finalmente disponibles en Amazon EE. UU.

Samsung anuncia el equipo europeo Samsung Galaxy Athletes para París 2024

Proton agrega soporte de clave de acceso al administrador de contraseñas y golpea a las grandes tecnologías

Paper Mario: Los pedidos anticipados de la puerta de los mil años tienen descuento

Los sitios web engañan a los usuarios ocultando deliberadamente el alcance de la recopilación y el intercambio de datos

Zoom ofrece actualizaciones basadas en IA para su espacio de colaboración Workplace

Nuevo para Amazon GuardDuty: detección de malware para volúmenes de Amazon EBS | Servicios web de Amazon

Written by TecTop

Que es el metaverso y como funcionará

Felicitaciones a los ganadores del hackathon de IA generativa de PartyRock | Servicios web de Amazon

Mapa meteorológico de Internet de Amazon CloudWatch: vea y analice el estado de Internet | Servicios web de Amazon

El modelo Claude 3 Opus de Anthropic ya está disponible en Amazon Bedrock | Servicios web de Amazon

La economía está condenada y ¿adivinen qué? Todo es culpa de Apple

El puerto de PC Returnal no anunciado parece estar listo para Steam Deck