Runtime Monitoring: Typen finden - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecuted

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Runtime Monitoring: Typen finden

Amazon GuardDuty generiert die folgenden Runtime Monitoring-Ergebnisse, um auf potenzielle Bedrohungen hinzuweisen, die auf dem Verhalten von Amazon EC2 EC2-Hosts und Containern in Ihren Amazon EKS-Clustern, Fargate- und Amazon ECS-Workloads und Amazon EC2 EC2-Instances auf Betriebssystemebene basieren.

Anmerkung

Die Erkenntnistypen der Laufzeit-Überwachung basieren auf den Laufzeit-Protokollen, die von Hosts gesammelt wurden. Die Protokolle enthalten Felder wie Dateipfade, die möglicherweise von einem böswilligen Akteur kontrolliert werden. Diese Felder sind auch in GuardDuty den Ergebnissen enthalten, um den Laufzeitkontext bereitzustellen. Wenn Sie die Ergebnisse von Runtime Monitoring außerhalb der GuardDuty Konsole verarbeiten, müssen Sie die Suchfelder bereinigen. Sie können z. B. Erkenntnisfelder HTML-kodieren, wenn Sie sie auf einer Webseite anzeigen.

CryptoCurrency:Runtime/BitcoinTool.B

Eine Amazon-EC2-Instance oder ein Container fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder ein Container in Ihrer AWS -Umgebung eine IP-Adresse abfragt, die mit einer Kryptowährungsaktivität in Verbindung steht. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance oder einen Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder einer von beiden anderweitig in Blockchain-Aktivitäten involviert ist, könnte die CryptoCurrency:Runtime/BitcoinTool.B-Erkenntnis eine erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Eine Amazon-EC2-Instance oder ein Container fragt eine IP-Adresse ab, die mit einem bekannten Command-and-Control-Server verbunden ist.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder ein Container in Ihrer AWS -Umgebung eine IP-Adresse abfragt, die mit einem bekannten Command-and-Control (C&C)-Server in Verbindung steht. Die aufgeführte Instance oder der aufgeführte Container sind möglicherweise gefährdet. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen PCs, Server, mobile Geräte und Geräte des Internets der Dinge gehören können, die mit einem allgemeinen Typ von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.

Anmerkung

Wenn die abgefragte IP log4j-bezogen ist, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

Ihre Amazon-EC2-Instance oder Ihr Container stellt Verbindungen mit einem Tor-Netzwerk als Tor-Relays her.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance oder ein Container in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass es als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Um die potenziell gefährdete Ressource zu identifizieren, sieh dir den Ressourcentyp im Ergebnisfenster der GuardDuty Konsole an.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

Ihre Amazon-EC2-Instance oder ein Container stellt Verbindungen mit einem Tor Guard oder einem Authority-Knoten her.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert dich darüber, dass eine EC2-Instance oder ein Container in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese EC2-Instance oder der Container als Client in einem Tor-Netzwerk fungieren. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Eine Amazon-EC2-Instance oder ein Container versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Dieser Befund informiert Sie darüber, dass die aufgelistete EC2-Instance oder ein Container in Ihrer AWS Umgebung möglicherweise kompromittiert ist, weil er versucht, mit der IP-Adresse eines schwarzen Lochs (oder Sink Hole) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint

Eine Amazon-EC2-Instance oder ein Container versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance oder ein Container in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Eine Amazon EC2-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance oder ein Container in Ihrer AWS -Umgebung einen Domainnamen abfragt, der mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance oder den Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese CryptoCurrency:Runtime/BitcoinTool.B!DNS-Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Eine Amazon EC2-Instance oder ein Container fragt einen Domainamen ab, der einem bekannten Command-and-Control-Server zugeordnet wird.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung einen Domainnamen abfragt, der mit einem bekannten Command-and-Control (C&C)-Server in Verbindung steht. Die aufgelistete EC2 Instance oder der aufgelistete Container sind möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen PCs, Server, mobile Geräte und Geräte des Internets der Dinge gehören können, die mit einem allgemeinen Typ von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.

Anmerkung

Wenn der abgefragte Domainname mit log4j zu tun hat, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Anmerkung

Um zu testen, wie dieser Befundtyp GuardDuty generiert wird, können Sie von Ihrer Instance aus eine DNS-Anfrage (digfür Linux oder nslookup für Windows) für eine Testdomäne stellenguarddutyc2activityb.com.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Eine Amazon EC2-Instance oder ein Container fragt einen Domainnamen ab, der an eine die IP-Adresse eines schwarzen Lochs weitergeleitet wird.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Dieses Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder ein Container in Ihrer AWS -Umgebung möglicherweise kompromittiert wurde, da sie einen Domainnamen abfragt, der an eine IP-Adresse eines schwarzen Lochs weitergeleitet wird. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen eines Remote-Hosts ab, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance oder ein Container in Ihrer AWS Umgebung den Domainnamen eines Remote-Hosts abfragt, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Eine Amazon-EC2-Instance oder ein Container fragt algorithmisch generierte Domains ab. Solche Domains werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance oder Container hinweisen.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung versucht, Domain Generation Algorithm (DGA)-Domains abzufragen. Ihre Ressource wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl an Domainnamen zu generieren, die als Rendezvous Points mit ihren Command-and-Control (C&C)-Servern verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Anmerkung

Dieses Ergebnis basiert auf bekannten DGA-Domänen aus GuardDuty Threat-Intelligence-Feeds.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen eines Remote-Host ab, der eine bekannte Quelle von Drive-By-Download-Angriffen ist.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung möglicherweise kompromittiert wurden, da Sie einen Domainnamen von einem Remote-Host abfragt, der eine bekannte Quelle von Drive-By-Download-Angriffen ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Eine Amazon-EC2-Instance oder ein Container fragt Domains ab, die an Phishing-Angriffen beteiligt sind.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance oder ein Container in Ihrer AWS -Umgebung versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2-Instance oder der Container versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder versucht möglicherweise, eine Phishing-Website einzurichten. Die EC2-Instance oder der Container sind möglicherweise kompromittiert.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit bekanntermaßen missbrauchten Domains verknüpft ist.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekanntermaßen missbrauchten Domains oder IP-Adressen verknüpft ist. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgelistete Amazon-EC2-Instance oder der Container können kompromittiert sein, da Bedrohungsakteure diese Registrare oder Services häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung in Verbindung steht.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung einen Domainnamen abfragt, der mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance oder den Container verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert Impact:Runtime/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährung oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Eine Amazon-EC2-Instance oder ein Container fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains verknüpft ist.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen verknüpft ist. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Eine Amazon-EC2-Instance oder ein Container fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.

Standard-Schweregrad: Niedrig

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance oder der Container in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmten. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Eine Amazon-EC2-Instance oder ein Container führen DNS-Lookups durch, die in den Instance-Metadatenservice aufgelöst werden.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Anmerkung

Derzeit wird dieser Befundtyp nur für die AMD64-Architektur unterstützt.

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance oder ein Container in Ihrer AWS Umgebung eine Domain abfragt, die in die EC2-Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Neubindung-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2-Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.

Bei der DNS-Neubindung wird eine Anwendung, die auf der EC2-Instance läuft, dazu gebracht, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die IP-Adresse der EC2-Metadaten (169.254.169.254) aufgelöst wird. Dies bewirkt, dass die Anwendung auf EC2-Metadaten zugreift und sie möglicherweise für den Angreifer verfügbar macht.

Der Zugriff auf EC2-Metadaten mit DNS-Neubindung ist nur möglich, wenn auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, die das Einfügen von URLs ermöglicht, oder wenn ein menschlicher Benutzer in einem Webbrowser, der auf der EC2-Instance ausgeführt wird, auf die URL zugreift.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Prüfen Sie als Reaktion auf diese Erkenntnis, ob auf der EC2-Instance oder dem Container eine anfällige Anwendung ausgeführt wird, oder ob ein menschlicher Benutzer über einen Browser auf die in der Erkenntnis angegebene Domain zugegriffen hat. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie in dieser Erkenntnis einen Zusammenhang mit einem der obigen Fälle feststellen, sollten Sie die mit der EC2-Instance verknüpfte Sitzung widerrufen.

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert UnauthorizedAccess:Runtime/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain oder die Container-Image-ID des Containers sein. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

Eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container wurde ausgeführt.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container ausgeführt wurde. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Dieses Verhalten deutet darauf hin, dass ein böswilliger Akteur, der Zugriff auf den Container erlangt hat, im Rahmen der potenziellen Sicherheitslücke Malware oder andere Software heruntergeladen und ausgeführt hat. Diese Art von Aktivität könnte zwar ein Hinweis auf eine Gefährdung sein, ist aber auch ein übliches Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Ein Prozess in einem Container kommuniziert über den Docker-Socket mit dem Docker-Daemon.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Der Docker-Socket ist ein Unix-Domain-Socket, den Docker-Daemon (dockerd) verwendet, um mit seinen Clients zu kommunizieren. Ein Client kann verschiedene Aktionen ausführen, z. B. das Erstellen von Containern, indem er über den Docker-Socket mit dem Docker-Daemon kommuniziert. Es ist verdächtig, dass ein Container-Prozess auf den Docker-Socket zugreift. Ein Container-Prozess kann den Container verlassen und Zugriff auf Host-Ebene erhalten, indem er mit dem Docket-Socket kommuniziert und einen privilegierten Container erstellt.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

Ein Versuch, einem Container über RunC zu entkommen, wurde festgestellt.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

RunC ist die Low-Level-Container-Runtime, die Container-Laufzeiten auf hoher Ebene wie Docker und Containerd verwenden, um Container zu erzeugen und auszuführen. RunC wird immer mit Root-Rechten ausgeführt, da es die Low-Level-Aufgabe, einen Container zu erstellen, ausführen muss. Ein Bedrohungsakteur kann sich Zugriff auf Host-Ebene verschaffen, indem er eine Sicherheitslücke in der RunC-Binärdatei entweder modifiziert oder ausnutzt.

Dieses Ergebnis deckt Änderungen an der RunC-Binärdatei und mögliche Versuche auf, die folgenden RunC-Schwachstellen auszunutzen:

  • CVE-2019-5736— CVE-2019-5736 Bei der Ausnutzung von wird die RunC-Binärdatei aus einem Container heraus überschrieben. Dieses Ergebnis wird ausgelöst, wenn die RunC-Binärdatei durch einen Prozess in einem Container geändert wird.

  • CVE-2024-21626— CVE-2024-21626 Bei der Ausnutzung von wird das aktuelle Arbeitsverzeichnis (CWD) oder ein Container auf einen offenen Dateideskriptor gesetzt. /proc/self/fd/FileDescriptor Dieser Befund wird aufgerufen, wenn ein Container-Prozess erkannt wird, unter dem sich ein aktuelles Arbeitsverzeichnis /proc/self/fd/ befindet, z. B. /proc/self/fd/7

Dieses Ergebnis kann darauf hindeuten, dass ein böswilliger Akteur versucht hat, einen der folgenden Containertypen auszunutzen:

  • Ein neuer Container mit einem vom Angreifer kontrollierten Image.

  • Ein vorhandener Container, auf den der Akteur mit Schreibberechtigungen für die RunC-Binärdatei auf Hostebene zugreifen konnte.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Es wurde ein Versuch entdeckt, einem Container durch den CGroups Release Agent zu entkommen.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass ein Versuch erkannt wurde, eine Release-Agent-Datei für eine Kontrollgruppe (Cgroup) zu ändern. Linux verwendet Kontrollgruppen (Cgroups), um die Ressourcennutzung einer Reihe von Prozessen einzuschränken, zu berücksichtigen und zu isolieren. Jede Cgroup hat eine Release-Agent-Datei (release_agent), ein Skript, das Linux ausführt, wenn ein Prozess innerhalb der Cgroup beendet wird. Die Release-Agent-Datei wird immer auf Host-Ebene ausgeführt. Ein Bedrohungsakteur in einem Container kann zum Host entkommen, indem er beliebige Befehle in die Release-Agent-Datei schreibt, die zu einer Cgroup gehört. Wenn ein Prozess innerhalb dieser Cgroup beendet wird, werden die vom Akteur geschriebenen Befehle ausgeführt.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion mithilfe des proc-Dateisystems erkannt.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Das proc-Dateisystem (procfs) ist ein spezielles Dateisystem in Linux, das den virtuellen Speicher eines Prozesses als Datei darstellt. Der Pfad dieser Datei ist /proc/PID/mem, wobei PID die eindeutige ID des Prozesses ist. Ein Bedrohungsakteur kann in diese Datei schreiben, um Code in den Prozess einzuschleusen. Diese Erkenntnis identifiziert potenzielle Versuche, in diese Datei zu schreiben.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion mithilfe des ptrace-Systemaufrufs erkannt.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann den ptrace-Systemaufruf verwenden, um Code in einen anderen Prozess einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe des Systemaufrufs ptrace Code in einen Prozess einzuschleusen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

In einem Container oder einer Amazon-EC2-Instance wurde eine Prozessinjektion durch direktes Schreiben in den virtuellen Speicher erkannt.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann einen Systemaufruf wie process_vm_writev verwenden, um Code direkt in den virtuellen Speicher eines anderen Prozesses einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe eines Systemaufrufs Code in den virtuellen Speicher eines Prozesses einzuschleusen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/ReverseShell

Ein Prozess in einem Container oder einer Amazon-EC2-Instance hat eine Reverse-Shell erstellt.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Eine Reverse-Shell ist eine Shell-Sitzung, die auf einer Verbindung erstellt wird, die vom Zielhost zum Host des Akteurs initiiert wird. Dies ist das Gegenteil einer normalen Shell, die vom Host des Akteurs zum Host des Ziels initiiert wird. Bedrohungsakteure erstellen eine Reverse-Shell, um Befehle auf dem Ziel auszuführen, nachdem sie sich den ersten Zugriff auf das Ziel verschafft haben. Diese Erkenntnis weist auf einen möglichen Versuch hin, eine Reverse-Shell zu erstellen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert.

DefenseEvasion:Runtime/FilelessExecution

Ein Prozess in einem Container oder einer Amazon-EC2-Instance führt Code aus dem Speicher aus.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, wenn ein Prozess mit einer im Speicher befindlichen ausführbaren Datei auf der Festplatte ausgeführt wird. Dabei handelt es sich um eine gängige Technik zur Umgehung von Schutzmaßnahmen, bei der verhindert wird, dass die schädliche ausführbare Datei auf die Festplatte geschrieben wird, um der Erkennung durch Dateisystem-Scans zu entgehen. Diese Technik wird zwar von Schadsoftware verwendet, hat aber auch einige legitime Anwendungsfälle. Eines der Beispiele ist ein just-in-time (JIT-) Compiler, der kompilierten Code in den Speicher schreibt und ihn aus dem Speicher ausführt.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Ein Container oder eine Amazon-EC2-Instance führt eine Binärdatei aus, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Container oder eine EC2-Instance in Ihrer AWS Umgebung eine Binärdatei ausführt, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp und dann unterBehebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Eine neu erstellte oder kürzlich geänderte Bibliothek wurde von einem Prozess in einen Container geladen.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Diese Erkenntnis informiert Sie darüber, dass eine Bibliothek während der Laufzeit in einem Container erstellt oder geändert und von einem Prozess geladen wurde, der innerhalb des Containers ausgeführt wird. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Das Laden einer neu erstellten oder geänderten Bibliothek in einen Container kann auf verdächtige Aktivitäten hinweisen. Dieses Verhalten weist auf einen böswilligen Akteur hin, der sich Zugriff auf den Container verschafft und im Rahmen der potenziellen Sicherheitslücke Malware oder andere Software heruntergeladen und ausgeführt hat. Diese Art von Aktivität könnte zwar ein Hinweis auf eine Beeinträchtigung sein, ist aber auch ein übliches Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Ein Prozess in einem Container hat zur Laufzeit ein Host-Dateisystem gemountet.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Bei mehreren Techniken zur Container-Escape-Methode wird zur Laufzeit ein Host-Dateisystem in einem Container gemountet. Diese Erkenntnis informiert Sie darüber, dass ein Prozess in einem Container möglicherweise versucht hat, ein Host-Dateisystem zu mounten, was auf einen Fluchtversuch zum Host hindeuten kann.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Ein Prozess verwendete userfaultfd-Systemaufrufe, um Seitenfehler im Benutzerbereich zu behandeln.

Standard-Schweregrad: Mittel

  • Feature: Laufzeit-Überwachung

Typischerweise werden Seitenfehler vom Kernel im Kernel-Space behandelt. Ein userfaultfd-Systemaufruf ermöglicht es einem Prozess jedoch, Seitenfehler in einem Dateisystem in der Benutzerumgebung zu behandeln. Dies ist eine nützliches Feature, die die Implementierung von Dateisystemen in der Benutzerumgebung ermöglicht. Andererseits kann sie auch von einem potenziell bösartigen Prozess verwendet werden, um den Kernel von der Benutzerumgebung aus zu unterbrechen. Das Unterbrechen des Kernels mithilfe eines userfaultfd-Systemaufrufs ist eine gängige Ausnutzungstechnik, um Race-Fenster zu verlängern, während die Kernel-Race-Bedingungen ausgenutzt werden. Die Verwendung von userfaultfd kann auf verdächtige Aktivitäten auf der Amazon Elastic Compute Cloud (Amazon EC2)-Instance hinweisen.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousTool

Ein Container oder eine Amazon EC2 EC2-Instance führt eine Binärdatei oder ein Binärskript aus, das häufig in offensiven Sicherheitsszenarien wie Pentesting verwendet wird.

Standardschweregrad: Variabel

Der Schweregrad dieser Feststellung kann entweder hoch oder niedrig sein, je nachdem, ob das erkannte verdächtige Tool als doppelt oder ausschließlich für anstößige Zwecke verwendet wird.

  • Feature: Laufzeit-Überwachung

Dieser Befund informiert Sie darüber, dass ein verdächtiges Tool auf einer EC2-Instance oder einem EC2-Container in Ihrer AWS Umgebung ausgeführt wurde. Dazu gehören Tools, die bei Pentesting-Projekten verwendet werden, auch bekannt als Backdoor-Tools, Netzwerkscanner und Netzwerk-Sniffer. All diese Tools können in harmlosen Kontexten eingesetzt werden, werden aber auch häufig von Bedrohungsakteuren mit böswilligen Absichten eingesetzt. Die Beobachtung anstößiger Sicherheitstools könnte darauf hindeuten, dass die zugehörige EC2-Instance oder der zugehörige EC2-Container kompromittiert wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer Amazon EC2 EC2-Instance oder einem Container ausgeführt, der auf eine Kompromittierung hindeutet.

Standardschweregrad: Variabel

Je nach Auswirkung des beobachteten Schadmusters kann der Schweregrad dieses Erkennungstyps entweder niedrig, mittel oder hoch sein.

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl ausgeführt wurde, und weist darauf hin, dass eine Amazon EC2 EC2-Instance oder ein Container in Ihrer AWS Umgebung kompromittiert wurde. Dies kann bedeuten, dass entweder eine Datei von einer verdächtigen Quelle heruntergeladen und dann ausgeführt wurde oder dass ein laufender Prozess in seiner Befehlszeile ein bekanntes bösartiges Muster anzeigt. Dies deutet weiter darauf hin, dass Malware auf dem System ausgeführt wird.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Ein Befehl wurde auf der aufgelisteten Amazon EC2 EC2-Instance oder einem Container ausgeführt. Er versucht, einen Linux-Abwehrmechanismus wie eine Firewall oder wichtige Systemdienste zu ändern oder zu deaktivieren.

Standardschweregrad: Variabel

Je nachdem, welcher Abwehrmechanismus geändert oder deaktiviert wurde, kann der Schweregrad dieses Erkennungstyps entweder hoch, mittel oder niedrig sein.

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Befehl ausgeführt wurde, der versucht, einen Angriff vor den Sicherheitsdiensten des lokalen Systems zu verbergen. Dazu gehören Aktionen wie das Deaktivieren der Unix-Firewall, das Ändern lokaler IP-Tabellen, das Entfernen von crontab Einträgen, das Deaktivieren eines lokalen Dienstes oder die Übernahme der LDPreload Funktion. Jede Änderung ist äußerst verdächtig und ein potenzieller Hinweis auf eine Gefährdung. Daher erkennen oder verhindern diese Mechanismen weitere Beeinträchtigungen des Systems.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Ein Prozess in einem Container oder einer Amazon EC2 EC2-Instance hat mithilfe des ptrace-Systemaufrufs eine Anti-Debugging-Maßnahme ausgeführt.

Standard-Schweregrad: Niedrig

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis zeigt, dass ein Prozess, der auf einer Amazon EC2 EC2-Instance oder einem Container in Ihrer AWS Umgebung läuft, den ptrace-Systemaufruf mit der PTRACE_TRACEME Option verwendet hat. Diese Aktivität würde dazu führen, dass sich ein angehängter Debugger vom laufenden Prozess trennt. Wenn kein Debugger angehängt ist, hat dies keine Wirkung. Die Aktivität an sich erweckt jedoch Verdacht. Dies könnte darauf hindeuten, dass Malware auf dem System ausgeführt wird. Malware verwendet häufig Anti-Debugging-Techniken, um Analysen zu umgehen. Diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieses Ergebnis nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Eine bekannte bösartige ausführbare Datei wurde auf einer Amazon EC2 EC2-Instance oder einem Container ausgeführt.

Standard-Schweregrad: Hoch

  • Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass eine bekannte bösartige ausführbare Datei auf einer Amazon EC2 EC2-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dies ist ein starker Indikator dafür, dass die Instance oder der Container potenziell kompromittiert wurde und dass Malware ausgeführt wurde.

Malware verwendet häufig Anti-Debugging-Techniken, um Analysen zu umgehen, und diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieses Ergebnis nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der Laufzeit-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.