AWS Config-SSM 루프를 통한 Credential-Independent Persistence 탐지

Context

AWS Config와 SSM Automation을 결합한 자동 리메디에이션 구조의 신뢰성을 악용한 공격 벡터 분석. 일반적인 IR(Incident Response) 프로세스가 IAM 계정 및 세션 제거에 집중하여 서비스 롤 기반의 자동화 루프 내 잔존 위협을 간과하는 한계점 식별.

Technical Solution

• Config Rule의 Lambda 평가 로직을 반전시켜 보안 설정(Hardening) 상태를 NON_COMPLIANT로 정의하는 Inversion 기법 적용
• SSM Automation Document와 연동하여 보안 설정 삭제(DeleteBucketPolicy 등)를 수행하는 자동 복구 루프 설계
• UpdateFunctionCode 및 UpdateDocument API를 통한 기존 신뢰 규칙의 로직 변조로 탐지 회피 구현
• CloudTrail의 hardening 이벤트와 SSM 실행 파라미터를 리소스 ID 기반으로 상관 분석하는 행동 기반 탐지 메커니즘 도입
• DescribeConfigRules, GetFunction, GetDocument API를 활용한 Read-only 기반의 무해한 스캔 구조 설계