Veamos cómo un analista de SecOps que utilice Vectra puede detectar y responder a los atacantes que atacan AWS.
Cuenta comprometida en AWS
Comience haciendo clic en Expandir todo para revisar los detalles de las cuentas priorizadas de Azure AD, M365 y AWS para comprender si alguna cuenta se ha visto comprometida y debe corregirse.
Haga clic en la identidad de AWS para investigar el compromiso.
Se puede ver que chris@corp.ai está priorizado como un compromiso activo con varias detecciones diferentes de Vectra correlacionadas con el usuario.
Investiguemos en chris@corp.ai para entender qué puede estar pasando.
Puede ver que el usuario realizó varias acciones que activaron alertas, entre ellas:
Enumeración de instancias EC2, buckets S3 y permisos de usuario
Lectura de configuraciones de red
Modificación de los permisos de usuario
Secuestro de funciones Lambda
Echemos un vistazo más profundo a estas alertas haciendo clic en Expandir todo.
Las detecciones ampliadas revelan más detalles sobre las actividades potencialmente maliciosas de esta identidad.
Secuestro de AWS Lambda
La alerta AWS LambdaHijacking podría indicar que un atacante ha ganado persistencia en el entorno. Investiguemos primero esa alerta.
Puedes ver los detalles del cambio de Lambda que podría haber dado persistencia al atacante.
Esta detección utiliza IA para monitorizar la serie temporal de llamadas a la API de AWS y los parámetros de solicitud para detectar el comportamiento relacionado con modificaciones maliciosas en una función de AWS Lambda.
Para obtener más información sobre este tipo de detección Vectra , haga clic en ? para consultar la página de explicaciones de la aplicación.
Ahora que entendemos cómo funciona esta detección.
Investiguemos y comprendamos
¿Qué llamadas a la API se realizaron y con qué parámetros?
¿Qué papel se utilizó?
¿Desde dónde se hicieron los cambios?
Nuestra investigación revela que se trataba de un cambio malicioso que proporcionaba al atacante acceso de puerta trasera al entorno.
El atacante asumió el rol de lambdaManager-role, creó una nueva función Lambda y utilizó la llamada a la API PutRule para crear una puerta trasera.
Actividad maliciosa a través de backdoor en AWS
Antes de remediarlo, entendamos qué más ha estado haciendo el atacante con su acceso.
Investiguemos los registros para ver qué más ha hecho el atacante.
Haga clic en Investigación instantánea para obtener acceso sin consultas a la actividad histórica de la cuenta en AWS.
El atacante accedió a varios servicios diferentes en varias regiones.
Durante el ataque se produjeron múltiples suposiciones de roles, lo que podría ocultar las actividades del atacante. Vectra correlaciona todas las suposiciones de roles con el usuario para facilitar las investigaciones.
Detener al atacante en AWS
Ahora tenemos suficiente información para detener al atacante con los datos recopilados revocando el acceso de la identidad y eliminando la puerta trasera de Lambda.
¡Ataque detenido!
Vectrason más precisas que las del SIEM.
Vectra mejoró la calidad de las detecciones de amenazas de Azure AD y M365 que recibe Blackstone en comparación con las alertas de la solución nativa y su SIEM?
"Nuestro volumen de alertas se ha reducido en un 90% desde que el ML de Vectraevalúa más características y contexto en los modelos, lo que conduce a detecciones más precisas."
Kevin Kennedy
Vicepresidente Senior de Ciberseguridad, Blackstone
