AWS GuardDuty IAM finding 타입 23개 정리

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html

Finding이란?

• Amazon GuardDuty가 AWS 환경에서 예상치 못한 잠재적으로 악의적인 활동을 탐지하면 파인딩을 생성
• GuardDuty 콘솔의 Findings 페이지에서 또는 GuardDuty CLI나 API 작업을 사용하여 GuardDuty 파인딩을 보고 관리할 수 있음
  (참조: GuardDuty 파인딩 관리하기 문서)
• Amazon CloudWatch Events를 통해 GuardDuty 파인딩을 볼 수도 있음
  (참조: 아마존 EventBridge로 GuardDuty 파인딩 모니터링하기 문서)

상세

• 모든 GuardDuty 파인딩은 파인딩 ID, 파인딩 타입, 그리고 심각도 수준을 가짐

파인딩 ID

• 각 GuardDuty 파인딩마다 고유한 파인딩 ID
• 이 ID는 기존 파인딩이 후속적으로 발생할 때도 동일하게 유지

파인딩 Types

• 잠재적 보안 문제에 대한 간결하면서도 읽기 쉬운 설명
  • 예: CredentialAccess:IAMUser/AnomalousBehavior
• 3가지 부분으로 구성: [위협목적]:[리소스타입]/[위협이름]
  • (참조: 위협목적 종류 문서)

심각도 수준

• 🔴 High (8.0~10.0) → 이미 손상됨, 지금 공격받는 중 → 즉시 대응 필요
• 🟠 Medium (5.0~7.9) → 의심스러운 활동 감지 → 조사 필요
• 🟡 Low (1.0~4.9) → 공격 시도했지만 차단됨 → 모니터링 필요
• ⚪ Informational (0.0) → 참고 정보만

Finding Types

1. CredentialAccess (자격증명 접근) - 1개

CredentialAccess:IAMUser/AnomalousBehavior

• 자격증명을 얻기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • GetPasswordData, GetSecretValue, BatchGetSecretValue, GenerateDbAuthToken

2. DefenseEvasion (방어 회피) - 1개

DefenseEvasion:IAMUser/AnomalousBehavior

• 방어 조치를 회피하기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • 일반적으로 공격자가 자신의 흔적을 숨기고 탐지를 회피하려는 방어 회피 전술과 연관
  • 삭제, 비활성화, 중지 명령
  • DeleteFlowLogs, DisableAlarmActions, StopLogging

3. Discovery (정찰) - 1개

Discovery:IAMUser/AnomalousBehavior

• 심각도: 낮음 (기본), 중간 (EC2 자격증명 사용 시)
• AWS 환경에서 리소스를 발견하기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • 일반적으로 공격자가 AWS 환경이 더 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 Discovery(탐색) 전술과 연관
  • DescribeInstances, GetRolePolicy, ListAccessKeys

4. Exfiltration (데이터 유출) - 1개

Exfiltration:IAMUser/AnomalousBehavior

• 심각도 높음
  • API가 Amazon EC2 인스턴스에서 생성된 임시 AWS 자격증명을 사용하여 호출된 경우
• AWS 환경에서 데이터를 수집하기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • 일반적으로 공격자가 탐지를 회피하기 위해 패키징과 암호화를 사용하여 네트워크에서 데이터를 수집하려는 데이터 유출 전술과 연관
  • S3 객체 업로드, 스냅샷 생성, 외부 AWS 계정에 스냅샷 공유
  • PutBucketReplication, CreateSnapshot, RestoreDBInstanceFromDBSnapshot

5. Impact (영향/파괴) - 1개

Impact:IAMUser/AnomalousBehavior

• 심각도 높음
  • API가 Amazon EC2 인스턴스에서 생성된 임시 AWS 자격증명을 사용하여 호출된 경우
• AWS 환경에서 데이터나 프로세스를 변조하기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • 일반적으로 공격자가 AWS 환경에서 데이터를 조작하거나, 중단시키거나, 파괴하려는 Impact(영향) 전술과 연관됨
  • DeleteSecurityGroup, UpdateUser, PutBucketPolicy

6. InitialAccess (초기 접근) - 1개

InitialAccess:IAMUser/AnomalousBehavior

• API가 비정상적인 위치에서 호출됨
• EC2 인스턴스에서 생성된 임시 자격증명의 노출 또는 손상되어 사용자 세션을 생성하는 데 사용되고 있는 EC2 인스턴스의 존재를 나타낼 수 있음
  • 일반적으로 공격자가 AWS 환경에 접근하려고 시도하는 초기 접근 전술과 연관됨
  • 사용자 세션 설정 중에 사용되는 API와 연관됨
  • StartSession, GetAuthorizationToken

7. PenTest (침투 테스트) 3개

PenTest:IAMUser/KaliLinux

• Kali Linux 머신에서 내 AWS 자격증명을 사용하여 API를 호출함
• Kali Linux
  • 보안 전문가들이 패치가 필요한 EC2 인스턴스의 취약점을 식별하기 위해 사용하는 인기 있는 침투 테스트 도구
  • 공격자들도 이 도구를 사용하여 EC2 구성 취약점을 찾고 AWS 환경에 무단으로 접근할 수 있음

PenTest:IAMUser/ParrotLinux

• Parrot Security Linux 머신에서 API가 호출됨

PenTest:IAMUser/PentooLinux

• Pentoo Linux 머신에서 API가 호출됨

8. Persistence (지속성) - 1개

Persistence:IAMUser/AnomalousBehavior

• AWS 환경에 대한 무단 접근을 유지하기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • 일반적으로 공격자가 AWS 환경에 접근한 후 그 접근을 유지하려는 지속성 전술과 연관됨
  • 새로운 사용자, 로그인 프로필, 액세스 키를 생성하거나 기존 액세스 정책을 수정
  • CreateAccessKey, ImportKeyPair, ModifyInstanceAttribute

9. Policy (정책) - 2개

Policy:IAMUser/RootCredentialUsage

• root 자격증명을 사용하여 API가 호출됨
• root 계정 직접 사용 (영구 access key)
  • 사용자를 대신하여 다른 AWS 서비스에 접근해야 하는 애플리케이션과 서비스에는 IAM 역할을 사용하고, AWS 서비스 및 리소스와 상호작용하는 데는 IAM 사용자를 사용할 것을 권장

Policy:IAMUser/ShortTermRootCredentialUsage

• root 계정의 임시 토큰(STS) 사용

10. PrivilegeEscalation (권한 상승) - 1개

PrivilegeEscalation:IAMUser/AnomalousBehavior

• AWS 환경에 대한 높은 수준의 권한을 얻기 위해 일반적으로 사용되는 API가 비정상적인 방식으로 호출됨
  • AWS 보안 정책을 변경, 사용자/역할에 권한 추가
  • AssociateIamInstanceProfile, AddUserToGroup, PutUserPolicy

11. Recon (정찰) - 3개

Recon:IAMUser/MaliciousIPCaller

• 알려진 악성 IP 주소에서 API가 호출됨
  • AWS 리소스를 나열하거나 설명할 수 있는 API 작업이 위협 목록에 포함된 IP 주소에서 호출됨
• 위협 목록 (Threat List)
  • 악성으로 알려진 IP 주소들로 구성
  • GuardDuty에 의해 선별되고 집계됨
  • GuardDuty에서 사용자 지정 위협 목록 업로드 가능

Recon:IAMUser/MaliciousIPCaller.Custom

• 사용자 지정 위협 목록의 IP 주소에서 API가 호출됨

Recon:IAMUser/TorIPCaller

• Tor 출구 노드 IP 주소에서 API가 호출됨
• Tor
  • 익명 통신을 가능하게 하는 소프트웨어
  • 일련의 네트워크 노드 간 중계를 통해 통신을 암호화하고 무작위로 튕겨냄
  • 마지막 Tor 노드를 출구 노드라고 함
  • 공격자는 Tor 네트워크를 자신의 신원을 흐리게 하고 진짜 출처를 숨기기 위해 사용함
  • 이러한 유형의 활동은 일반적으로 AWS 환경의 합법적인 사용 사례에서는 사용되지 않음

12. Stealth (은밀한 활동) - 2개

Stealth:IAMUser/CloudTrailLoggingDisabled

• AWS CloudTrail 추적이 비활성화됨
  • 악의적인 목적으로 AWS 리소스에 접근하는 동안 자신의 활동 흔적을 제거함으로써 로깅을 비활성화하여 자신의 흔적을 숨기려는 공격자의 시도일 수 있음
  • 추적의 성공적인 삭제 또는 업데이트에 의해 트리거될 수 있음
  • GuardDuty와 연관된 추적의 로그를 저장하는 S3 버킷의 성공적인 삭제에 의해서도 트리거

Stealth:IAMUser/PasswordPolicyChange

• 계정 비밀번호 정책이 약화됨
  • 삭제되었거나 더 적은 문자를 요구하도록, 기호와 숫자를 요구하지 않도록, 또는 비밀번호 만료 기간을 연장하도록 업데이트됨

13. UnauthorizedAccess (무단 접근) - 6개

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

• 동일한 IAM 사용자에 대해 다양한 지리적 위치에서 비슷한 시간에 여러 건의 성공적인 콘솔 로그인이 관찰됨
  • 비정상적이고 위험한 접근 위치 패턴
  • AWS 리소스에 대한 잠재적인 무단 접근을 나타냄

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

• 심각도: 높음 (VPC 내의 EC2 인스턴스에서 API가 호출된 경우)
  또는 매우 높음 (VPC 외부에서 호출된 경우)
• 인스턴스 시작 역할을 통해 EC2 인스턴스 전용으로 생성된 자격증명이 AWS 내의 다른 계정에서 사용됨
  • 인스턴스 시작 역할 (Instance launch role)
    • EC2 인스턴스에 IAM 자격증명을 제공하여 AWS 서비스에 API 호출을 할 수 있도록 함
• AWS는 이 활동이 합법적인지 악의적인지 판단할 수 없음
• AWS 외부에서 AWS 자격증명을 사용하는 서비스를 이용하여 AWS 리소스에 접근하고, 이 접근을 승인했거나 이 활동이 예상되는 경우 => 억제 규칙(suppression rule)을 생성할 것
  • 억제 규칙의 2가지 필터 기준(filter criteria)
    1. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS 값을 가진 Finding type 속성을 사용해야 함
    2. 네트워크 경계 외부에서 AWS 자격증명을 사용할 것으로 예상되는 인스턴스의 인스턴스 ID와 일치해야 함

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

• 심각도: 높음 (VPC 내의 EC2 인스턴스에서 API가 호출된 경우)
  또는 매우 높음 (VPC 외부에서 호출된 경우)
• 인스턴스 시작 역할을 통해 EC2 인스턴스 전용으로 생성된 자격증명이 외부 IP 주소에서 사용됨
• 억제 규칙의 2가지 필터 기준
  1. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS 값을 가진 Finding type 속성을 사용해야 함
  2. 네트워크 경계 외부에서 AWS 자격증명을 사용할 것으로 예상되는 인스턴스의 인스턴스 ID와 일치해야 함

UnauthorizedAccess:IAMUser/MaliciousIPCaller

• 심각도: 중간
• 알려진 악성 IP 주소에서 API가 호출됨
  • EC2 인스턴스 시작 시도, 새 IAM 사용자 생성, 또는 AWS 권한 수정 등
• GuardDuty의 위협 목록 기반 탐지

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

• 사용자 지정 위협 목록의 IP 주소에서 API가 호출됨

UnauthorizedAccess:IAMUser/TorIPCaller

• Tor 출구 노드 IP 주소에서 API가 호출됨

기타

• Resource Type은 항상 AccessKey
• ML 모델이 사용자의 정상 행동 패턴을 학습하여 비정상 활동 탐지
• 추적 요소: 사용자, 위치, 요청된 API
• 심각도 기준
  • Low (낮음): 정책 위반, 로깅 비활성화
  • Medium (중간): 악성 IP 접근, Tor 사용, 정찰 활동
  • High (높음): 데이터 유출, 파괴 활동
  • Very High (매우 높음): EC2 자격증명 유출 (VPC 외부)
• 모든 Finding에 대한 기본 대응:
  1. 활동이 예상치 못한 것인지 확인
  2. 자격증명 손상 여부 조사
  3. 손상된 경우:
     • Access Key 비활성화
     • 세션 무효화
     • 정책 검토 및 수정
     • 영향받은 리소스 확인
• MITRE ATT&CK 매핑: 각 Finding 카테고리는 MITRE ATT&CK 프레임워크의 전술(Tactic)과 대응:
  • Discovery → 정찰
  • InitialAccess → 최초 침입
  • Persistence → 지속적 접근
  • PrivilegeEscalation → 권한 상승
  • DefenseEvasion → 방어 회피
  • Exfiltration → 데이터 유출
  • Impact → 파괴