AWS更新威胁侦测服务Amazon GuardDuty,现在能够检测EC2执行实例凭证被另一个AWS账户使用的情况,并且向用户发出不同等级的警示。目前该新功能已经在所有AWS地区提供,用户不需要额外支付费用,当AWS账户激活GuardDuty服务,则默认会激活此新功能。
Amazon GuardDuy可以持续监控恶意活动,或是未经授权的行为,保护用户的AWS账户、工作负载,以及存储在S3中的资料。GuardDuty能够分析事件、关注趋势、模式,找出具有潜在问题的各种异常。而EC2执行实例凭证则是通过EC2元数据服务,提供给执行实例上所执行的应用程序,一个临时的凭证。
攻击者可能入侵用户EC2执行实例上运行的应用程序,并设法访问该执行实例的元数据服务,如此攻击者便能够截取凭证,而这些凭证具有用户在IAM角色定义,附加到执行实例上的权限,因此根据应用程序功能不同,攻击者有机会攻击S3或是DynamoDB来窃取资料,启动或是终止EC2执行实例,甚至是创建新的IAM用户或是角色。
GuardDuty具备能够侦测从AWS外部IP,访问这类凭证的情况,但是更聪明的攻击者,可能会使用另一个AWS账号,来进一步隐藏活动,以利用GuardDuty侦测范围之外的方式活动。
不过,AWS服务API通信的来源IP地址,与EC2执行实例IP地址不同,可能有其正当理由,考虑到流量路由到一个或是多个VPC的复杂网络拓扑,像是AWS Transit Gateway或AWS Direct Connect。而且多区域配置或是不使用AWS Organizations,都会使得侦测凭证使用的AWS账户,变得非常困难。
不少大型企业使用自己的解决方案,来侦测和维护这类安全漏洞,但AWS提到,这类型解决方案不容易构建和维护,仅有少数企业具有这样的资源。因此AWS现在更新GuardDuy,使其能够侦测来自AWS网络内,使用其他AWS账户使用凭证的情况,简化解决问题的方法。
现在当GuardDuty侦测到EC2执行实例凭证遭滥用时,便会生成警示,当从附属账户使用凭证时,警示会被标记为中等严重性,否则将会出现高严重性警示,AWS提到,附属账户可能是由同一个GuardDuty管理员账户监控的账户,这些账户可能属于组织,也可能并非组织的一部分。