BlueTeam 공부를 하기 위해 CyberDefenders에 있는 Bucket 문제를 풀어보았다.

본 포스팅에서는 AWS CLI를 사용한 것이 아닌 웹 브라우저에서 분석을 진행하였다. 필자가 풀면서 공부 했던 것 까지 정리할 것 이며 부족한 것은 피드백을 해주길 바란다.

문제 설명

[Description]
Welcome, Defender! As a soc analyst,
we're granting you access to the AWS account called "Security" as an IAM user.
This account contains a copy of the logs during the time period of the incident
and has the ability to assume the "Security" role in the target account
so you can look around to spot the misconfigurations that allowed
for this attack to happen.

[번역]
안녕하세요, 방어팀! 당신은 soc 분석가로써, 우리는 당신에게 IAM 사용자로 AWS 계정에 대한
액세스 권한을 부여하겠습니다. 이 계정에는 사고가 발생한 기간 동안의 로그 복사본이 포함되어
있으며 대상 계정에서 "보안" 역할을 수행할 수 있으므로 이 공격이 발생할 수 있는 잘못된 구성을
확인할 수 있나요?

확실히 번역기를 돌리니 좀 이상하네요? 간단하게 AWS 계정에 대한 권한을 줄테니 분석을 해달라. 이말이다.

해당 AWS 계정의 내부 인프라 구성도이다.

설명을 좀 덧붙히면, 위 그림을 통해 볼 수 있듯이 보안 계정에 액세스할 수 있으며 이 계정은 대상 계정에서 “보안” 역할을 수행할 수 있다. 또한 보안 계정에서 faults2_logs라는 이름의 S3 버킷에 액세스할 수 있으며, 이 버킷에는 CloudTrail 로그가 포함되어 있다.

문제 풀이에 앞서 AWS의 배경 지식을 설명하겠다.

AWS란?

AWS(Amazon Web Services는 아마존 닷컴에서 개발한 클라우드 컴퓨팅 플랫폼이다. 중요 특징은 3가지로 나뉜다.

• Amazon Web Services는 아마존(Amazon)에서 제공하는 클라우드 서비스로, 네트워킹을 기반으로 가상 컴퓨터와 스토리지, 네트워크 인프라 등 다양한 서비스를 제공
• 비즈니스와 개발자가 웹 서비스를 사용하여 확장 가능하고 정교한 애플리케이션 구축하도록 지원
• 현재 소규모 법인(회사) 및 개인 을 포함한 다양한 사용자들이 사용하고 있으며, 클라우드 컴퓨팅의 장점을 이용하기 위해 많은 거대 기업에서도 활용