EC2がボットネットのC2通信を行うのを防ぐには、Route 53 Resolver DNS Firewall で AWSManagedDomainsBotnetCommandandControl リストを使い、悪意あるドメインへのDNS解決をブロックするのが最も効果的です。通信の「最初の一歩」であるDNS解決を止めることで、攻撃者との接続自体を成立させません。
ボットネットは、攻撃者(人形師)がマルウェアで感染させた大量のコンピュータ(操り人形)を遠隔操作するネットワークです。C2(コマンド&コントロール)通信は、人形師が人形に指示を送る「糸」のようなものです。人形は定期的に人形師に「次は何をすればいい?」と電話をかけ、人形師は「あのサイトを攻撃しろ」「データを送れ」と指示を出します。
DNSは「インターネットの電話帳」のようなもので、ドメイン名(名前)をIPアドレス(電話番号)に変換します。DNS Firewallは、この電話帳を管理する「受付係」に相当します。誰かが危険な相手の電話番号を調べようとしたら、受付係が「その番号はお教えできません」と断ります。電話番号が分からなければ、電話をかけること自体ができません。
AWSが管理・定期更新する脅威インテリジェンスに基づいたドメインリストです。ユーザーがリストを自分で管理する必要がなく、最新の脅威に自動対応できます。
実装は、ビルにセキュリティシステムを導入するのと同じです。まず「ブラックリスト」を用意し、次に「警備員のマニュアル(ルールグループ)」を作成し、最後に「各フロアに配置(VPCに関連付け)」します。
Security GroupやNACLはIPアドレス/ポートベースで通信を制御しますが、DNS Firewallはドメイン名ベースで制御します。C2サーバーはIPアドレスを頻繁に変更するため、ドメインレベルでブロックする方が効果的です。
AWSが脅威インテリジェンスに基づいて定期的に更新します。具体的な更新頻度は公開されていませんが、新しいC2ドメインが発見され次第、リストに追加されます。
可能性はゼロではありません。そのため、本番導入前にALERTモードで検証し、ホワイトリスト(ALLOWルール)で正当なドメインを明示的に許可することが推奨されます。
DNS FirewallはDNS解決をブロックするサービスのため、IPアドレス直指定のC2通信には対応できません。そのような場合は、Network Firewall、Security Group、GuardDutyなど他のサービスとの組み合わせが必要です。
「EC2のボットネットC2通信を防ぎたい」→ Route 53 Resolver DNS Firewall + AWSManagedDomainsBotnetCommandandControl
Created by SSuzuki1063
AWS SAP Learning Resources