シンプルだけど怖い!AWS認証情報を取得しようとするリクエスト
4月の中旬くらいからGlastopfを使用したハニーポットを構築し、定期的にログをウォッチしているのですが、珍しめのログをご紹介したいと思います。
1週間に1件くらいの頻度ですが、下記のアクセスが僕のハニーポットにきます。
GET /.aws/credentials HTTP/1.0
単純なGETリクエストなのですが、リクエストしているファイルがやばいです。
/.aws/credentialsになっているので、AWS 認証プロファイルファイルを参照するようなリクエストになっています。
単純で全然手の込んでいないシンプルなリクエストですが、その威力は絶大です。
だって、AWS 認証プロファイルファイルに含まれるaws_access_key_idやaws_secret_access_keyを盗まれてしまった場合、AWS環境が乗っ取られてしまい、なんでもできる状態になってしまいます。
本来、公開してはいけないディレクトリを公開設定にしてしまったり、公開しているディレクトリにAWS 認証プロファイルファイルを配置してしまったりといった設定ミス、オペレーションミスが原因となって閲覧できるような状態になってしまうことがあるようです。(実際に攻撃ログが来ているということは、少なからずそういったユーザーがいるということです。)
AWSを利用されていて、Webサーバを公開しているようなシステム、サービスを構築している方は、ご自身のサーバが問題ないかリクエストを投げてみてチェックしみてはいかがでしょうか。
http://【自分のドメイン】/.aws/credentials
または、
https://【自分のドメイン】/.aws/credentials
僕も以前、原因は忘れてしまったのですが、自分のAWS環境を乗っ取られて、不明なEC2を立てられたことがあるので、みなさんもご注意ください。
特にいっぱいEC2を立てていたりすると、その中に1個くらい不審なサーバが立っていても分からなかったりするので。。。
関連記事
ネットワーク機器に対する攻撃例の紹介記事です。 saito.hatenadiary.com
少し前まで流行っているDrupalを狙った攻撃の紹介記事です。 最近は少なくなってきましたが、まだまだアクセスはきています。 saito.hatenadiary.com
WebLogicを狙った攻撃の例です。 POSTリクエストの中身が面白かったです。 saito.hatenadiary.com