Analisis Dua Serangan Infeksi Botnet AWS EC2 yang Terjadi Tepat Setelah Peluncuran (dari Security Group hingga Isolasi Docker)
(qa-arena.qalabs.kr)Saya baru-baru ini meluncurkan QA Arena, sebuah platform latihan praktik untuk pembuatan kode pengujian bagi para engineer QA.
Setelah meluncurkan layanan, saya sempat berpikir, "Saya harus sekali memposting tulisan perkenalan di GeekNews," tetapi sebelum perkenalan, saya malah lebih dulu menulis post-mortem insiden keamanan AWS.
Saya ingin membagikan akibat dari pengaturan keamanan yang terlewat dalam proses pengembangan cepat dengan "Vibe Coding", serta bagaimana saya menanganinya dari sudut pandang QA.
1. Incident Timeline & Analysis
-
Phase 1 (2025.12): Inbound/Outbound Policy Failure
- Gejala: Terdeteksi tanda-tanda serangan eksploit IoT seperti CVE-2017-18368 dan komunikasi abnormal dari instance.
- Penyebab: Egress (jalur keluar) pada Security Group terbuka sebagai
All Traffic, sehingga proses yang terinfeksi dapat berkomunikasi dengan pihak luar. - Tindakan pertama: Mengisolasi instance yang terkontaminasi dan memperkenalkan AWS Systems Manager (SSM) untuk membatasi akses administrator.
-
Phase 2 (2026.01.14): Docker Container Escape
- Gejala: Menerima Abuse Report dari tim AWS Trust & Safety dengan isi "terdeteksi komunikasi dengan server Botnet C&C". (IP:
72.62.195.44) - Root Cause: isolasi jaringan tidak diterapkan pada kontainer Docker yang menjalankan kode kiriman pengguna. Saat menggunakan kode buatan AI, pengaturan
network_modeterlewat.**
- Gejala: Menerima Abuse Report dari tim AWS Trust & Safety dengan isi "terdeteksi komunikasi dengan server Botnet C&C". (IP:
- Mitigation (Respons teknis)**
Segera setelah menyadari insiden, saya menerapkan proses QA ke area infrastruktur dan mengambil langkah-langkah berikut.
- Network Isolation: Memutus semua koneksi aktif dengan IP berbahaya.
- Security Group Hardening: Membatasi traffic outbound secara ketat hanya ke HTTPS(443).
- Code Patch: Memperbaiki kode
docker_service.pyagar semua kontainer worker dipaksa menggunakannetwork_mode="none".
3. Conclusion
Saya menjelaskan langkah-langkah di atas kepada pihak AWS dengan melampirkan bukti (Evidence Attached), dan akhirnya menerima status [Resolved].
[IMG] Gambar bukti penyelesaian AWS
![[IMG] Gambar bukti penyelesaian AWS](https://github.com/JunghyunRyu/qa_labs/raw/main/docs/20251231_%ED%95%B4%EA%B2%B0_%EC%9D%B4%EB%AF%B8%EC%A7%80.png){kind=link}
Insiden ini menunjukkan bahwa "cakupan QA harus diperluas melampaui kode aplikasi hingga ke konfigurasi infrastruktur".
Inilah QA-Arena, yang telah melewati baptisan api yang keras sekaligus verifikasi keamanan. Mohon banyak masukan.
🔗 QA-Arena: https://qa-arena.qalabs.kr/
2 komentar
Masalah keamanan yang muncul saat menggunakan AI diselesaikan dengan AI, lalu prosesnya dirangkum dengan AI dan diposting di GeekNews
Waduh..