Skip to content
By using AWS re:Post, you agree to the AWS re:Post Terms of Use
AWS re:Postre:Post
About re:Post

Como bloquear IP de invadir AWS

0

Ola Pessoal,

Comecei a receber alerta critico de invasao pelo GuardDuty dia 02/07 as 07:40.

Adicionei policies IAM para negar , S3, EC2, ExecAPI e IAM , padrao usado: "Effect": "Deny", "Action": "iam:", "Resource": "", "Condition": { "IpAddress": { "aws:SourceIp": "177.54.146.84/32" }

Mesmo assim ainda estou recebendo alertas de invasao com a origem do mesmo IP "bloqueado".

Registrei tambem uma reclamacao no whois.br para email do contato Abuse com copia para abuse do registro.br

Alguma outra sugestao para bloquear esse ataque ?

Segue ultimo log de hoje as 03:07 :

O AWS GuardDuty detectou um comportamento anormal na conta AWS em us-east-1, com severidade: 9 . Essa anomalia é :' A sequence of actions involving 2 signals indicating a potential credential compromise was observed for Root/resolveinfo in account between 2025-06-29T22:44:13Z and 2025-07-03T17:10:36Z. - This finding was updated and now includes details about S3 buckets: aws-cloudtrail-logs-991836682102-2bc40b83, resolveinfo-mysql, uploadintellectus-resolveinfo, plataformaescola1-upload-producao-resolveinfo, uploadescolaparque, and 4 others Evidence: - 4 MITRE ATT&CK tactics observed: Impact, Privilege Escalation, Discovery, Initial Access - 8 MITRE ATT&CK techniques observed: T1580 - Cloud Infrastructure Discovery, T1654 - Log Enumeration, T1078.004 - Valid Accounts: Cloud Accounts, T1619 - Cloud Storage: Cloud Storage Enumeration, T1087.004 - Account Discovery: Cloud Account, T1526 - Cloud Service Discovery, T1069.003 - Permission Groups Discovery: Cloud Groups, T1496 - Resource Hijacking - Connected with previously unseen networks: Latitude.sh LTDA - Connected with sensitive networks: - Latitude.sh LTDA: ALLOWS_FREE_ACCESS, ALLOWS_TORRENTS, IS_ANONYMOUS, OPERATOR_URBAN_VPN, RISK_CALLBACK_PROXY, TUNNEL_VPN - Connected from sensitive IP addresses: - 177.54.146.84: ALLOWS_FREE_ACCESS, ALLOWS_TORRENTS, IS_ANONYMOUS, OPERATOR_URBAN_VPN, RISK_CALLBACK_PROXY, TUNNEL_VPN - 15 sensitive APIs called: cloudtrail:LookupEvents, guardduty:GetFindings, s3:PutBucketPublicAccessBlock, ec2:DescribeInstanceAttribute, logs:DescribeMetricFilters, s3:GetBucketVersioning, s3:ListObjects, ec2:StartInstances, s3:GetBucketCors, iam:ListUsers, and 5 others (3acbe55b3e6525fe165f2014859cbd35) ', e ocorreu pela primeira vez em: 2025-06-29T22:44:13.000Z

Obs.: O IP foi adicionado bloqueado também no WAF.

Grato, Borsoni.

Topics
Security, Identity, & Compliance
Tags
AWS WAFIAM PoliciesAmazon GuardDuty
Language
English
asked 10 months ago146 views
2 Answers
0
Accepted Answer

Regarding the AI ​​response, I've been looking at the features added to WAF, it only has Load Balance added.

The others, AWS AppSync etc, do not list anything to associate, only API Gateway shows two available options, I added both items, I'm waiting to see if it has any side effects on the working APIs.

Thanks, Borsoni.

answered 10 months ago
0

Para bloquear efetivamente um IP que está tentando invadir sua conta AWS, você precisa implementar uma estratégia de defesa em camadas. Vejo que você já tomou algumas medidas importantes, mas há outras ações que podem ajudar a reforçar sua segurança:

  1. Políticas IAM com condições de IP: Você já implementou políticas IAM para negar acesso baseado no IP de origem, o que é uma boa prática. No entanto, se ainda está recebendo alertas, pode ser que:
  • O atacante esteja usando outros IPs além do que você bloqueou
  • As políticas não estão aplicadas a todos os recursos relevantes
  • O atacante pode estar explorando um caminho que não está coberto pelas políticas
  1. AWS WAF (Web Application Firewall): Você mencionou que adicionou o IP ao WAF, o que é excelente. Certifique-se de que:
  • A regra está configurada para bloquear (e não apenas monitorar)
  • O WAF está associado a todos os recursos relevantes (CloudFront, API Gateway, ALB)
  • Considere adicionar regras para detectar e bloquear padrões de ataque como injeção SQL
  1. Security Groups e Network ACLs:
  • Configure Security Groups para restringir o acesso apenas a IPs confiáveis
  • Implemente Network ACLs para bloquear o tráfego do IP malicioso no nível da sub-rede
  1. Autenticação multifator (MFA):
  • Ative MFA para todos os usuários, especialmente para o usuário root
  • Isso ajuda a prevenir acessos não autorizados mesmo se as credenciais forem comprometidas
  1. Rotação de credenciais:
  • Se há suspeita de comprometimento, troque todas as senhas e chaves de acesso
  • Revogue sessões ativas suspeitas
  1. Monitoramento e alertas:
  • Continue monitorando os logs do CloudTrail
  • Configure alertas adicionais para atividades suspeitas
  • Analise os logs do WAF para verificar se o bloqueio está funcionando
  1. Revisão de permissões:
  • Revise e restrinja as permissões de todos os usuários e roles
  • Implemente o princípio do menor privilégio

Considerando que o GuardDuty continua detectando atividades suspeitas, é possível que o atacante tenha encontrado uma forma de contornar suas restrições ou esteja usando outros métodos de acesso. Recomendo revisar todas as políticas de segurança e considerar a possibilidade de entrar em contato com o AWS Support para obter assistência especializada na investigação e mitigação deste incidente de segurança.
Sources
Restricting Access to AWS Identity Center to Specific IP Range | AWS re:Post
Community | Cómo Usar AWS WAF Para Mejorar la Seguridad de tu Aplicación

answered 10 months ago

You are not logged in. Log in to post an answer.

A good answer clearly answers the question and provides constructive feedback and encourages professional growth in the question asker.

Relevant content