AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

Amazon EC2 인스턴스에 대한 GuardDuty UnauthorizedAccess 무작위 대입 조사 결과 유형 알림을 받았습니다. 어떻게 해야 하나요?

2분 분량
0

Amazon GuardDuty가 내 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 UnauthorizedAccess:EC2/RDPBruteForce 또는 UnauthorizedAccess:EC2/SSHBruteForce 조사 결과 유형에 대한 알림을 감지했습니다.

간략한 설명


무작위 대입 공격은 AWS 리소스에 대한 무단 액세스를 의미할 수 있습니다. 자세한 내용은 UnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForce 조사 결과 유형을 참조하세요.

해결 방법

다음 지침에 따라 GuardDuty 조사 결과 유형 설명, 조사 결과 ID 및 탐지기 ID에서 무작위 대입 공격에 대한 자세한 내용을 확인하세요.

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하세요. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

GuardDuty 조사 결과 유형 설명을 확인하세요.

지침에 따라 GuardDuty 결과를 보고 분석하세요.

검색 결과 세부 정보 창에서 다음과 비슷한 검색 결과 유형의 제목을 확인합니다.

“198.51.100.0은 i-99999999에 대해 RDP 무작위 대입 공격을 수행하고 있습니다. 무작위 대입 공격은 RDP 암호를 추측하여 인스턴스에 대한 무단 액세스를 얻는 데 사용됩니다.”

이 예시의 설명에는 영향을 받는 Amazon EC2 인스턴스, 무작위 대입 공격의 방향, IP 주소가 나와 있습니다.

GuardDuty 조사 결과 ID 및 탐지기 ID를 확인합니다.

GuardDuty 조사 결과 ID 및 감지기 ID를 확인하려면 다음 단계를 따르세요.

  1. GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 조사 결과를 선택합니다.

  3. 조사 결과 유형에서 UnauthorizedAccess 조사 결과 유형을 선택합니다.

  4. 조사 결과 유형 세부 정보 창에서 조사 결과 ID를 선택합니다.

  5. 검색 결과 JSON에서 GuardDuty 조사 결과 및 탐지기 ID를 기록해 둡니다.

  6. 다음 AWS CLI 명령 실행:
    참고: your-detector-idyour-findings-id를 GuardDuty 탐지기 및 조사 결과 ID로 대체하세요.

    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

    다음과 같은 출력이 표시됩니다.

    [    "INBOUND"
    ]
  7. 다음 AWS CLI 명령 실행:

    
    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

    다음과 같은 출력이 표시됩니다.

    [    "198.51.100.0"
    ]
    

이 예에서 Amazon EC2 인스턴스 보안 그룹은 인터넷의 모든 트래픽에 대한 액세스를 허용하는 SSH/RDP 트래픽을 허용합니다.

문제를 완화하기 위해 Amazon EC2 인스턴스에 액세스할 권한이 있는 IP 주소 세트에 대해서만 SSH/RDP 트래픽을 제한할 수 있습니다.

SSH 트래픽을 제한하려면 Linux 인스턴스에 인바운드 SSH 트래픽에 대한 규칙을 추가합니다.

RDP 트래픽을 제한하려면 Windows 인스턴스에 인바운드 RDP 트래픽에 대한 규칙을 추가합니다.

관련 정보

Amazon GuardDuty 및 AWS Web Application Firewall(AWS WAF)을 사용해 의심스러운 호스트를 자동으로 차단하는 방법

GuardDuty를 사용하여 Linux 인스턴스에 대한 SSH 무작위 대입 공격을 식별하려면 어떻게 해야 하나요?

GuardDuty에 신뢰할 수 있는 IP 주소 목록을 설정하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 8달 전
댓글 없음

관련 콘텐츠