SOC Prime Bias: Mittel

01 Dez. 2025 20:34
newspaper icon suKTech24

AWS GuardDuty Detektor Deaktiviert/Ausgesetzt – Bedrohungserkennungsregel Wöchentlich #11-2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
AWS GuardDuty Detektor Deaktiviert/Ausgesetzt – Bedrohungserkennungsregel Wöchentlich #11-2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Blogartikel beschreibt eine Erkennungsregel im AWS GuardDuty Detector, die darauf abzielt, zu alarmieren, wenn ein GuardDuty Detector gelöscht, deaktiviert oder ausgesetzt wird. Er durchläuft erwartete administrative, Test- und Angreiferszenarien, enthält ein Sigma-Regelbeispiel und erläutert, wie Warnungen untersucht werden können. Die Regel konzentriert sich auf AWS CloudTrail-Aufzeichnungen, die DeleteDetector- und UpdateDetector-API-Aktivitäten erfassen, um Sicherheitsteams dabei zu helfen, Versuche zur Beeinträchtigung der Sichtbarkeit von GuardDuty Detectors zu erkennen.

Analyse

Dieser Abschnitt empfiehlt Analysten, CloudTrail-Einträge für DeleteDetector and UpdateDetector GuardDuty-****API-Aufrufe zu prüfen, zu überprüfen, ob die Aktionen erfolgreich waren, den IAM-Benutzer oder -Rolle zu identifizieren, der sie ausführt, und deren Timing mit anderen verdächtigen Ereignissen zu korrelieren. Weiterhin wird empfohlen, die kürzlich vor der Detektoränderung generierten GuardDuty-Funde zu überprüfen und die IAM-Berechtigungen des Kontos zu prüfen, das die Aktion durchgeführt hat.

Abmilderung

Richtlinien zur Abmilderung umfassen die sofortige Wiederherstellung des GuardDuty Detectors in einen aktivierten Zustand, das Härtens von IAM-Richtlinien, das Ermächtigen von nur streng kontrollierten Rollen zur Nutzung von DeleteDetector and UpdateDetector API-Aufrufen, die Nutzung von AWS Config zur Alarmierung bei GuardDuty-Konfigurationsänderungen und die Durchsetzung eines formalen Änderungsmanagements bei legitimen Detektorentfernungen. Teams sollten ebenfalls Automatisierungen und Skripte überprüfen, um versehentliche GuardDuty-Detektor-Löschungen zu verhindern.

Reaktion

Wenn eine solche bösartige Aktivität erkannt wird, sollten Sicherheitsteams bestätigen, ob die Anfrage autorisiert war, umgehend den GuardDuty Detector wieder aktivieren, potenziell kompromittierte Ressourcen isolieren, wichtige Interessengruppen informieren und die Überwachung sowie Zugriffskontrollen stärken, um das Risiko zukünftiger unautorisierter Detektoränderungen zu verringern.

mermaid graph TB %% Klassendefinitionen classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef builtin fill:#cccccc %% Technik-Knoten tech_valid_accounts[„<b>Technik</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Angreifer erhält und verwendet kompromittierte Zugangsdaten, um auf Konten zuzugreifen.“] class tech_valid_accounts technique tech_impair_defenses[„<b>Technik</b> – <b>T1562 Verteidigungen beeinträchtigen</b><br/><b>Beschreibung</b>: Angreifer versucht, Sicherheitstools oder -mechanismen zu deaktivieren.“] class tech_impair_defenses technique tech_clear_persistence[„ÅÅ<b>Technik</b> – <b>T1070.009 Persistenz löschen</b><br/><b>Beschreibung</b>: Angreifer entfernt Artefakte, die auf Persistenz oder vorherige Aktivität hindeuten könnten.“] class tech_clear_persistence technique %% Aktion-Knoten action_obtain_credentials[„<b>Aktion</b> – Erhalten von kompromittierten IAM-Anmeldedaten mit guardduty:DeleteDetector/UpdateDetector-Berechtigungen“] class action_obtain_credentials action action_disable_gd[„<b>Aktion</b> – Löschen oder Aktualisieren des GuardDuty-Detektors über API-Aufrufe“] class action_disable_gd action action_remove_alerts[„<b>Aktion</b> – Entfernen von GuardDuty-Warnungen und -Protokollen, um Hinweise auf Erkennung zu beseitigen“] class action_remove_alerts action %% Verbindungen, die den Angriffsfluss zeigen tech_valid_accounts u002du002d>|ermöglicht| action_obtain_credentials action_obtain_credentials u002du002d>|wird benutzt, um auszuführen| tech_impair_defenses tech_impair_defenses u002du002d>|verwendet| action_disable_gd action_disable_gd u002du002d>|führt zu| tech_clear_persistence tech_clear_persistence u002du002d>|ermöglicht| action_remove_alerts

Angriffsablauf

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Pre‑Flight-Check muss bestanden haben.

  • Angriffserzählung & Befehle:

    Ein Angreifer, der sich privilegierte AWS-Zugangsdaten verschafft hat (z.B.AdministratorAccess), zielt darauf ab, bösartige Aktivitäten zu verbergen, indem er die Überwachung von GuardDuty entfernt. Der Angreifer identifiziert zunächst die existente GuardDuty-Detektor-ID, dann löscht er entweder den Detektor vollständig oder aktualisiert ihn, um ihn zu deaktivieren. Beide Aktionen erzeugen CloudTrail-Ereignisse, die der Sigma-Regel entsprechen.

  • Regressionstestskript:

    #!/usr/bin/env bash
# =============================================================================
# Simulationsskript – T1562.008: GuardDuty Detector deaktivieren/löschen
# Voraussetzungen:
#   - AWS CLI v2 installiert und mit Zugangsdaten konfiguriert, die über GuardDuty-Administratorrechte verfügen
#   - jq für JSON-Analyse installiert
# =============================================================================

set -euo pipefail

REGION="us-east-1"

echo "[*] Entdecken der GuardDuty-Detektor-ID..."
DETECTOR_ID=$(aws guardduty list-detectors --region "$REGION" --output json | jq -r '.DetectorIds[0]')

if [[ -z "$DETECTOR_ID" || "$DETECTOR_ID" == "null" ]]; then
    echo "[!] Kein GuardDuty-Detektor in Region $REGION gefunden. Beende."
    exit 1
fi
echo "[+] Detektor-ID: $DETECTOR_ID"

# -------------------------------------------------------------------------
# Option 1: Den Detektor löschen (führt zu einem DeleteDetector-Ereignis)
# -------------------------------------------------------------------------
echo "[*] Löschen des GuardDuty-Detektors zur Simulation von T1562.008..."
aws guardduty delete-detector 
    --detector-id "$DETECTOR_ID" 
    --region "$REGION"
echo "[+] DeleteDetector-Aufruf getätigt."

# -------------------------------------------------------------------------
# Option 2: Den Detektor deaktivieren (führt zu UpdateDetector mit enable=false)
# -------------------------------------------------------------------------
# Kommentarblock unten auskommentieren, um den UpdateDetector-Pfad anstelle von Löschen zu testen.
#: <<'DISABLE_BLOCK'
#echo "[*] Deaktivieren des GuardDuty-Detektors (alternativer Pfad)..."
#aws guardduty update-detector 
#    --detector-id "$DETECTOR_ID" 
#    --region "$REGION" 
#    --enable false
#echo "[+] UpdateDetector (enable=false)-Aufruf getätigt."
#: DISABLE_BLOCK

echo "[*] Simulation abgeschlossen. Überprüfen Sie SIEM-Alarme auf DeleteDetector- oder UpdateDetector-Ereignisse."

  • Bereinigungskommandos:

    #!/usr/bin/env bash
# GuardDuty-Detektor neu erstellen (falls gelöscht) oder erneut aktivieren (falls deaktiviert)

REGION="us-east-1"

# Prüfen, ob Detektoren existieren
EXISTING=$(aws guardduty list-detectors --region "$REGION" --output json | jq -r '.DetectorIds | length')

if [[ "$EXISTING" -eq 0 ]]; then
    echo "[*] Kein GuardDuty-Detektor gefunden – erstelle einen neuen..."
    aws guardduty create-detector --region "$REGION" --enable true
    echo "[+] Neuer GuardDuty-Detektor erstellt und aktiviert."
else
    DETECTOR_ID=$(aws guardduty list-detectors --region "$REGION" --output json | jq -r '.DetectorIds[0]')
    echo "[*] Existierenden Detektor $DETECTOR_ID erneut aktivieren..."
    aws guardduty update-detector 
        --detector-id "$DETECTOR_ID" 
        --region "$REGION" 
        --enable true
    echo "[+] Detektor $DETECTOR_ID erneut aktiviert."
fi

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten