하늘에서 탐지: 빅3의 클라우드 보안을 강화하는 시그마 규칙

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서에서는 3대 클라우드 서비스 제공업체인 AWS(Amazon Web Services), Microsoft Azure, GCP(Google Cloud Platform)를 공격하는 데 사용되는 도구에 대한 개요를 제공합니다. 여기에는 이러한 공격 도구의 기능에 대한 세부 정보가 포함되어 있으며 이러한 클라우드 제공업체에 대한 의심스럽고 악의적인 행동에 대한 탐지 기능을 제공합니다. 이 보고서는 탐지 엔지니어링에 중점을 두는 보안 운영 담당자를 대상으로 합니다. 출처로는 Recorded Future® 플랫폼과 오픈 소스 연구가 있습니다.

Executive Summary

많은 조직에서 데이터, 리소스 및/또는 서비스를 클라우드로 마이그레이션하고 있습니다. 클라우드는 조직이 서비스를 확장하고 조직의 온프레미스 리소스로는 불가능했던 기능을 제공할 수 있는 기능을 제공합니다. 클라우드 서비스 사용이 증가함에 따라 조직에서 클라우드 환경을 적절히 보호하고 모니터링해야 할 필요성이 더욱 중요해지고 있습니다. 클라우드 인프라에 대한 공격은 온프레미스 인프라와는 다른 양상을 보이며 탐지를 위한 고유한 접근 방식이 필요합니다. 따라서 클라우드 인프라 보안 모범 사례는 기존 인프라에 적용할 수 있는 다른 모범 사례와 차별화됩니다.

3대 플랫폼인 AWS(Amazon Web Services), Microsoft Azure, Google Cloud Platform(GCP)은 모두 보안 제어 기능이 내장되어 있고 로깅 기능을 제공하지만 클라우드 환경의 위협 탐지 및 대응에는 여전히 모호한 점이 있습니다. 이번 연구에서는 아티팩트 삭제, 명령 실행, 클라우드 환경 열거 등 3대 플랫폼에 대해 수행할 수 있는 다양한 유형의 공격에 대한 세부 정보와 함께 연구 과정에서 에뮬레이션한 공격의 하위 집합을 탐지하는 시그마 규칙을 제공합니다.

주요 판단

• 빅 3 플랫폼은 로그를 수집, 집계 및 상호 연관시키는 인프라와 결합하면 대부분의 악성 활동을 탐지할 수 있는 로깅 기능을 제공합니다.
• AWS와 Azure를 공격하기 위해 개발된 도구는 GCP를 대상으로 하는 도구에 비해 더 정교합니다.
• 클라우드 인프라에 대한 공격에 대한 탐지 엔지니어링은 클라우드의 분산되고 일시적인 특성, 클라우드 인프라에서 실행할 수 있는 다양한 워크로드, 클라우드 제공업체 간의 차이로 인해 복잡합니다.
• 클라우드 서비스 공급자를 대상으로 하는 공격을 탐지할 수 있는 기회는 클라우드 공급자와 Azure 및 GCP의 호스팅된 가상 머신 모두에 존재합니다.

배경

클라우드 워크로드

조직에서 클라우드 워크로드라고 하는 클라우드 리소스를 사용할 수 있는 방법은 여러 가지가 있습니다. Dell은 클라우드 워크로드를 "클라우드 리소스에서 실행할 수 있는 특정 애플리케이션, 서비스, 기능 또는 특정 작업량"으로 정의합니다. 이러한 워크로드는 클라우드 관련 침입의 잠재적 표적이거나 노출될 위험이 있습니다.

Gartner는 클라우드로 마이그레이션해야 하는 상위 7가지 워크로드를 다음과 같이 명시했습니다:

1. 모바일 디바이스 및 애플리케이션 지원
2. 협업 및 콘텐츠 관리
3. 화상 회의
4. 가상 데스크톱 및 원격 워크스테이션 관리
5. 스케일아웃 애플리케이션
6. 재해 복구
7. 비즈니스 연속성 솔루션

빅 3

이번 연구의 초점으로 클라우드 서비스형 인프라(IaaS)의 상위 3개 제공업체를 선정했습니다: 아마존 웹 서비스(AWS), Azure, 구글 클라우드 플랫폼(GCP)입니다. 이들 플랫폼을 합하면 2022년 1분기 전 세계 클라우드 IaaS 시장의 62% 이상을 차지하며, AWS가 33%, Azure가 21%, GCP가 8%의 시장 점유율을 차지합니다.

세 플랫폼 모두 비슷한 서비스를 제공하지만, BMC의 최근 블로그에 따르면 AWS와 Azure는 모두 약 200개 이상의 서비스를 제공하는 반면 GCP는 100개 이상의 서비스를 제공합니다. BMC는 각 플랫폼이 제공하는 공통 서비스에 대해서도 간략하게 설명하며, 다음은 이들의 연구 결과를 요약한 것입니다:

• 컴퓨팅 서비스(가상 머신, 서비스형 플랫폼, 컨테이너 및 서버리스 기능)
• 데이터베이스 및 스토리지 서비스(관계형 데이터베이스 관리, NoSQL, 개체 스토리지, 파일 스토리지, 아카이브 스토리지, 데이터 웨어하우스/데이터 레이크)
• 네트워킹(가상 네트워크, 로드 밸런싱, 방화벽, DNS, 콘텐츠 전송)

BMC는 또한 로봇 공학, 최종 사용자 컴퓨팅, 게임 개발, 가상 현실 및 IoT와 같은 보다 전문적인 서비스의 경우 Azure와 AWS 모두 GCP와 비교할 때 더 많은 서비스를 제공한다고 말합니다.

결국, 어떤 빅3 플랫폼을 사용할지는 조직이 해결하고자 하는 특정 사용 사례에 따라 달라집니다.

3대 위협 분석

클라우드 인프라 보안은 본질적으로 제3회 연례 국가 사이버 보안 서밋(2020)에서 유순일 씨가 처음 소개한 보안 모델을 따르며, 이를 DIE 트라이어드라고 합니다. DIE 트라이어드는 잘 알려진 CIA 트라이어드(기밀성, 무결성, 가용성)를 변형한 버전이지만 조직의 리소스나 데이터가 상주하는 인프라에 더 중점을 둡니다. Copado는 DIE 트라이어드에 대해 다음과 같은 정의도 제공합니다:

• 분산: 단일 영역에 대한 의존성을 방지하면서 확장성을 확보할 수 있도록 시스템이 분산되어 있나요?
• 불변성: 문제 발생 시 인프라를 폐기하고 교체할 수 있나요(일명 코드형 인프라)?
• 임시: 시스템 재프로비저닝 기간은 어떻게 되나요, 그리고 침해 발생 시 자산을 처분할 수 있나요?

클라우드 인프라에 대한 위협 모델링 공격은 클라우드의 분산되고 일시적인 특성과 클라우드 인프라에서 실행할 수 있는 다양한 워크로드로 인해 점점 더 복잡해지고 있습니다. 따라서 클라우드 인프라는 조직마다 다르며, 한 조직의 클라우드 인프라에 직접적인 영향을 미칠 수 있는 위협이 다른 조직의 클라우드 인프라에는 직접적인 영향을 미치지 않을 수도 있습니다. 이러한 차이점은 클라우드 환경의 다양한 특성을 설명하는 데 도움이 되며 클라우드 환경에 대한 통일된 보안 모델을 만드는 것과 관련된 문제를 설명하는 데 도움이 됩니다.

레코디드 퓨처 플랫폼과 OSINT 연구를 통해 각 플랫폼에 영향을 미치는 사이버 위협을 파악한 결과, 잘못된 구성이 Amazon AWS 인스턴스에 가장 큰 위험을 초래하며, 위협 행위자가 초기 액세스 권한을 얻을 수 있도록 하는 자격 증명 도용이 그 뒤를 잇는 것으로 나타났습니다. 침해로 이어지는 가장 일반적인 구성 오류는 공개적으로 액세스할 수 있는 환경을 허용하는 클라우드 서비스 구성에서 비롯됩니다. 그러나 Microsoft Azure는 다양한 사이버 보안 위협의 영향을 받았으며, 그 중 잘못된 구성은 큰 비중을 차지하지 않았습니다. 마지막으로, 구글 클라우드 제품은 단 1건의 사이버 사고의 표적이 되었으며, 잘못된 설정 문제와 관련하여 언급된 횟수는 매우 적었습니다.

조직이 클라우드 인프라 보안 모범 사례를 구현하는 데 도움이 되는 많은 리소스를 이용할 수 있습니다. 이러한 리소스는 개별 조직의 상황에 적용할 수 있는지 검토해야 하지만, 클라우드 보안 연합, 미국 국립표준기술연구소, 미국 사이버 보안 & 인프라 보안 기관에서 제공하는 리소스가 일반적입니다.

이 연구를 위해 저희는 빅3 플랫폼을 공격하는 데 사용되는 일반적인 도구와 프레임워크를 파악한 다음 테스트 환경에 이러한 도구를 사용하는 방식으로 접근했습니다. 아래 그림 1은 클라우드 탐지 방법론을 보여줍니다. 높은 수준의 방법론은 우리가 만든 클라우드 제공업체 테스트 환경에 대해 이러한 악성 도구를 실행하고, 클라우드 제공업체 로그를 분석하여 이러한 도구의 사용을 나타내는 아티팩트를 찾고, 가능한 경우 이를 기반으로 시그마 규칙을 만드는 것으로 구성되었습니다.

그림 1: Insikt Group 클라우드 탐지 엔지니어링 방법론(출처: Recorded Future)

AWS 위협 분석

공격 접점

AWS 환경은 일반적으로 매우 다양한 동기와 공격 기법을 가진 모든 종류의 위협 행위자의 표적이 됩니다. AWS 환경에 영향을 미치는 일반적인 공격을 에뮬레이션하고 위협 행위자가 구현할 수 있는 공격 전략을 시연하는 데 사용할 수 있는 도구는 무수히 많습니다. 저희는 잠재적 공격 유형의 최신성과 폭을 중심으로 이러한 툴을 선별하여 AWS 로깅 서비스 CloudTrail을 위한 로그 데이터를 생성하는 데 사용했습니다. 이 데이터를 사용하여 표시된 행동에 대한 시그마 탐지를 생성하여 방어자와 위협 연구자가 AWS 환경과 이러한 도구의 사용에서 잠재적으로 악의적인 활동을 더 잘 식별할 수 있도록 했습니다.

CloudTrail 로그 데이터를 생성하는 데 사용한 도구는 아래에 설명되어 있습니다.

스트라투스 레드팀

스트라투스 레드팀은 클라우드 기반 로깅, 모니터링 및 보안 플랫폼을 만든 DataDog에서 만든 침투 테스트 도구입니다. 스트라투스는 Red Canary의 Atomic Red Team 펜테스팅 제품군을 기반으로 하지만, 스트라투스는 클라우드 환경에 중점을 두는 반면 Atomic Red Team은 Windows, Linux 및 MacOS 운영 체제 및 네트워크를 타겟팅하는 데 사용됩니다.

Stratus에는 그림 2와 같이 30개 이상의 사전 작성된 공격 기법이 포함되어 있습니다. 이 중 7개를 제외한 모든 기법은 AWS 환경에 대한 다양한 공격을 수행하는 데 사용됩니다. 이러한 공격은 자격 증명 액세스, 방어 회피, 발견, 실행, 권한 상승, 유출, 초기 액세스 및 지속성 ATT&CK 전술에 걸쳐 다양하게 이루어집니다.

Pacu

Pacu는 미리 작성된 모듈을 사용하여 AWS 클라우드 플랫폼에 대한 공격 기법을 수행하는 데 중점을 둔 오픈 소스 익스플로잇 프레임워크입니다. 이 도구는 AWS 환경 내에서 취약점과 잘못된 구성을 식별하기 위한 레드팀에 사용하기 위한 것입니다. 현재 정찰, 발견(열거), 권한 상승, 측면 이동, 지속성, 탈출, 방어 회피 등의 전술을 수행하는 42개의 모듈이 있습니다. 또한 파쿠에는 사용자가 다음과 같은 작업을 수행할 수 있는 익스플로잇 관련 모듈 목록이 포함되어 있습니다:

• 대상 환경에서 ID 및 액세스 관리(IAM) 키 자동 생성
• 라이트세일 SSH 키 검색, SSH 키 생성 및 임시 액세스 권한 부여
• EC2 인스턴스에서 시스템/루트로 원격 코드 실행

시그마 규칙 탐지

AWS 시그마 규칙: 스트라투스 활동 감지

이 규칙은 Stratus가 모듈을 실행할 때마다 사용자 에이전트에 포함되는 문자열 stratus-red-team을 감지합니다. Stratus는 주로 레드팀 목적의 악의적인 활동을 시연하는 데 사용되지만, 위협 행위자가 Stratus 모듈을 수정하여 도구를 무기화할 수 있습니다. 공격을 수행하고 대상 환경을 초기화하기 위해 테라폼 IaC(코드형 인프라) 도구에 의존한다는 것은 위협 행위자가 사용자 에이전트를 수정하지 않고 그대로 두고 사용자 에이전트에 계속 스트라투스-레드팀을 포함할 수 있다는 것을 의미합니다.

AWS 시그마 규칙: 포트 22 인그레스

스트라투스 모듈 aws.exfiltration.ec2-security-group-open-port-22-ingress 를 사용하면 포트 22를 통해 환경에 대한 인바운드 액세스를 허용하는 보안 그룹을 만들 수 있습니다. 이 보안 그룹을 생성하면 위협 행위자는 피해자 환경 내에서 도구를 드롭하거나 C2 명령을 제공할 수 있는 경로를 갖게 됩니다. 포트 22 침입을 허용하는 일반적인 활동은 이벤트 이름이 AuthorizeSecurityGroupIngress인 이벤트를 식별하고 요청 매개변수 toPort에 문자열 22가 포함된 이벤트를 식별하여 감지할 수 있습니다.

AWS 시그마 규칙: 클라우드 트레일 흔적 삭제

스트라투스 모듈 aws.defense-evasion.cloudtrail-delete 를 사용하면 사용자가 CloudTrail 트레일을 생성하여 AWS 환경에서 로깅 데이터를 제거할 수 있습니다. 이 기법은 이벤트 이름이 DeleteTrail인 이벤트를 식별하여 간단히 탐지할 수 있지만, 이러한 이벤트를 면밀히 조사하여 삭제가 합법적으로 수행되지 않았는지 확인해야 합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.