攻撃者は、侵害されたホストにスクリプトをダウンロードして、権限を昇格させたり、データを窃取したり、永続性を確立したりします。Cloud Firewall は、組み込みの侵入防止システム (IPS) ルールを使用してネットワークトラフィックを検査し、スクリプトのダウンロードを検知してホストに到達する前にブロックします。デフォルトでは、これらのルールは [監視] モードで実行されます。特定のルールを [ブロック] モードに切り替えることで、スクリプトのダウンロードを積極的に防止できます。
スクリプトダウンロードの危険性
Bash シェル、Python、Perl、PowerShell などのスクリプトには、大量の情報が含まれている場合があります。攻撃者はこの情報を利用して、Bash history や useradd など、ホスト上で一般的な操作を実行できます。
以下のシナリオは、スクリプトのダウンロードに依存する一般的な攻撃について説明しています。
内部関係者による不正な操作:悪意のある、または侵害された内部関係者が、事前に作成されたコマンドを含むスクリプトをリモートでダウンロードします。これらのスクリプトは、ご利用のホストでの不正な操作を自動化します。
外部からの攻撃:攻撃者は、悪意のあるコマンドを含むスクリプトをご利用のホストにダウンロードします。これらのスクリプトは、攻撃を開始するために使用される可能性があります。
ワームとトロイの木馬の拡散:ワームとトロイの木馬は、ダウンロードしたスクリプトを使用してホストを侵害します。ほとんどの場合、スクリプトは定期的に実行されるように
crontabファイルに書き込まれます。これにより、スクリプトをホストから完全に削除することができなくなります。
Cloud Firewall でのスクリプトダウンロードのブロック
Cloud Firewall は、スクリプトのダウンロードを検知する組み込みの IPS ルールを提供します。これらのルールはデフォルトで [監視] モードで実行され、トラフィックをブロックせずに検知をログに記録します。スクリプトのダウンロードを積極的にブロックするには、関連するルールを [ブロック] モードに切り替えます。
操作手順
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[基本防御] セクションで、[設定] をクリックします。
[基本防御] ダイアログボックスで、スクリプトのダウンロードに関連するルールを見つけます。
ルールのモードを [監視] から [ブロック] に変更します。
まず [監視] モードで開始して、ご利用の環境での検知を観察することを推奨します。ログを確認して、ワークロードが依存している正当なスクリプトのダウンロードを特定します。ブロックしても本番トラフィックに影響がないことを確認した後、ルールを [ブロック] モードに切り替えてください。
設定の検証
[ブロック] モードを有効にした後、Cloud Firewall のトラフィックログをチェックして、スクリプトのダウンロード試行がブロックされていることを確認します。有効にしたスクリプトダウンロードルールに対応する、ブロックされたイベントを探します。正当なトラフィックがブロックされた場合は、影響を受けるルールを [監視] モードに戻し、調査してから再度有効にしてください。