GuardDuty EC2Typen finden - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty EC2Typen finden

Die folgenden Ergebnisse beziehen sich spezifisch auf EC2 Amazon-Ressourcen und haben immer den RessourcentypInstance. Der Schweregrad und die Einzelheiten der Ergebnisse hängen von der Rolle der Ressource ab. Diese gibt an, ob die EC2 Ressource das Ziel einer verdächtigen Aktivität war oder ob der Akteur, der die Aktivität ausgeführt hat.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter GuardDuty grundlegende Datenquellen.

Anmerkung

Bei einigen EC2 Ergebnissen fehlen möglicherweise Instanzdetails, wenn die Instance bereits beendet wurde oder wenn der zugrunde liegende API Anruf Teil eines regionsübergreifenden API Aufrufs war, der von einer EC2 Instance in einer anderen Region ausging.

Für alle EC2 Ergebnisse wird empfohlen, dass Sie die fragliche Ressource untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen verwenden, um Falschmeldungen für diese Ressource zu verhindern. Wenn die Aktivität unerwartet auftritt, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass die Instance kompromittiert wurde, und die unter Behebung einer potenziell gefährdeten Amazon-Instance EC2 beschriebenen Aktionen auszuführen.

Backdoor:EC2/C&CActivity.B

Eine EC2 Instanz fragt eine IP ab, die einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

  • Datenquelle: VPC Flow-Logs

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung eine IP-Adresse abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen ServerPCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen Distributed-Denial-of-Service () -Angriff zu starten. DDoS

Anmerkung

Wenn die abgefragte IP log4j-bezogen ist, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:

  • Dienst. additionalInfo. threatListName = Amazon

  • Bedienung. additionalInfo. threatName = Log4j Verwandt

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/C&CActivity.B!DNS

Eine EC2 Instanz fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung einen Domainnamen abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen ServerPCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen Distributed-Denial-of-Service () -Angriff zu starten. DDoS

Anmerkung

Wenn der abgefragte Domainname mit log4j zu tun hat, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:

  • Dienst. additionalInfo. threatListName = Amazon

  • Bedienung. additionalInfo. threatName = Log4j Verwandt

Anmerkung

Um zu testen, wie dieser Findingtyp GuardDuty generiert wird, können Sie von Ihrer Instance aus (digfür Linux oder Windows) eine DNS Anfrage nslookup für eine Testdomäne stellen. guarddutyc2activityb.com

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/DenialOfService.Dns

Eine EC2 Instanz verhält sich auf eine Weise, die darauf hindeutet, dass sie für einen Denial of Service (DoS) -Angriff unter Verwendung des DNS Protokolls verwendet wird.

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung ein großes Volumen an ausgehendem DNS Datenverkehr generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und zur Durchführung von denial-of-service (DoS-) Angriffen mithilfe des DNS Protokolls verwendet wird.

Anmerkung

Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/DenialOfService.Tcp

Eine EC2 Instanz verhält sich so, dass sie unter Verwendung des Protokolls für einen Denial of Service (DoS) -Angriff verwendet wird. TCP

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung ein großes Volumen an ausgehendem TCP Datenverkehr generiert. Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und zur Durchführung von denial-of-service (DoS-) Angriffen mithilfe des TCP Protokolls verwendet wird.

Anmerkung

Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/DenialOfService.Udp

Eine EC2 Instanz verhält sich so, dass sie unter Verwendung des Protokolls für einen Denial of Service (DoS) -Angriff verwendet wird. UDP

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung ein großes Volumen an ausgehendem UDP Datenverkehr generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und zur Durchführung von denial-of-service (DoS-) Angriffen mithilfe des UDP Protokolls verwendet wird.

Anmerkung

Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Eine EC2 Instanz verhält sich auf eine Weise, die darauf hindeuten könnte, dass sie für einen Denial of Service (DoS) -Angriff unter Verwendung des UDP Protokolls auf einem TCP Port verwendet wird.

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung ein großes Volumen an ausgehendem UDP Datenverkehr generiert, der an einen Port gerichtet ist, der normalerweise für die TCP Kommunikation verwendet wird. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und für denial-of-service (DoS) -Angriffe mithilfe eines UDP Protokolls auf einem TCP Port verwendet wird.

Anmerkung

Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/DenialOfService.UnusualProtocol

Eine EC2 Instanz verhält sich auf eine Weise, die darauf hindeuten könnte, dass sie für einen Denial of Service (DoS) -Angriff mit einem ungewöhnlichen Protokoll verwendet wird.

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung ein großes Volumen an ausgehendem Datenverkehr über einen ungewöhnlichen Protokolltyp generiert, der normalerweise nicht von EC2 Instances verwendet wird, wie z. B. das Internet Group Management Protocol. Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe unter Verwendung eines ungewöhnlichen Protokolls verwendet wird. Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/Spambot

Eine EC2 Instance zeigt ungewöhnliches Verhalten, wenn sie mit einem Remote-Host über Port 25 kommuniziert.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung mit einem Remote-Host an Port 25 kommuniziert. Dieses Verhalten ist ungewöhnlich, da diese EC2 Instanz noch nie zuvor über Port 25 kommuniziert hat. Port 25 wird traditionell von Mailservern für die SMTP Kommunikation verwendet. Dieser Befund deutet darauf hin, dass Ihre EC2 Instance möglicherweise für den Versand von Spam kompromittiert wurde.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Behavior:EC2/NetworkPortUnusual

Eine EC2 Instance kommuniziert mit einem Remote-Host über einen ungewöhnlichen Serverport.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass sich die aufgelistete EC2 Instanz in Ihrer AWS Umgebung auf eine Weise verhält, die von der festgelegten Ausgangsbasis abweicht. Diese EC2 Instanz hat in der Vergangenheit noch keine Kommunikationsvorgänge an diesem Remote-Port durchgeführt.

Anmerkung

Wenn die EC2 Instance über Port 389 oder Port 1389 kommuniziert hat, wird der zugehörige Schweregrad auf Hoch geändert, und die Suchfelder enthalten den folgenden Wert:

  • Dienst. additionalInfo.context = Möglicher log4j-Rückruf

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Behavior:EC2/TrafficVolumeUnusual

Eine EC2 Instanz generiert ungewöhnlich viel Netzwerkverkehr zu einem Remote-Host.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass sich die aufgelistete EC2 Instanz in Ihrer AWS Umgebung auf eine Weise verhält, die von der festgelegten Ausgangsbasis abweicht. Diese EC2 Instanz hat in der Vergangenheit noch nie so viel Traffic an diesen Remote-Host gesendet.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

CryptoCurrency:EC2/BitcoinTool.B

Eine EC2 Instanz fragt eine IP-Adresse ab, die mit Aktivitäten im Zusammenhang mit Kryptowährungen verknüpft ist.

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung eine IP-Adresse abfragt, die mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten verknüpft ist. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instance verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Instance anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte dieses Ergebnis eine erwartete Aktivität für Ihre Umgebung sein. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Eine EC2 Instanz fragt einen Domainnamen ab, der mit Aktivitäten im Zusammenhang mit Kryptowährungen verknüpft ist.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung einen Domainnamen abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten verknüpft ist. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instance verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Instance anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte dieses Ergebnis eine erwartete Aktivität für Ihre Umgebung sein. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

DefenseEvasion:EC2/UnusualDNSResolver

Eine EC2 Amazon-Instance kommuniziert mit einem ungewöhnlichen öffentlichen DNS Resolver.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass sich die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung auf eine Weise verhält, die vom Basisverhalten abweicht. Diese EC2 Instance hat in letzter Zeit nicht mit diesem öffentlichen DNS Resolver kommuniziert. Das Feld Ungewöhnlich im Bereich mit den Suchdetails in der GuardDuty Konsole kann Informationen über den abgefragten Resolver enthaltenDNS.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

DefenseEvasion:EC2/UnusualDoHActivity

Eine EC2 Amazon-Instance führt eine ungewöhnliche DNS Over-Kommunikation HTTPS (DoH) durch.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass sich die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung auf eine Weise verhält, die von der festgelegten Ausgangsbasis abweicht. Bei dieser EC2 Instance gab es in letzter Zeit keine DNS Überkommunikation HTTPS (DoH) mit diesem öffentlichen DoH-Server. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoH-Server enthalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

DefenseEvasion:EC2/UnusualDoTActivity

Eine EC2 Amazon-Instance führt eine ungewöhnliche DNS Over-Kommunikation TLS (DoT) durch.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass sich die aufgelistete EC2 Instanz in Ihrer AWS Umgebung auf eine Weise verhält, die von der festgelegten Ausgangsbasis abweicht. Bei dieser EC2 Instanz gab es in letzter Zeit keine DNS Überkommunikation TLS (DoT) mit diesem öffentlichen DoT-Server. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoT-Server enthalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/AbusedDomainRequest.Reputation

Eine EC2 Instanz fragt einen Domainnamen mit geringer Reputation ab, der mit bekanntermaßen missbrauchten Domains verknüpft ist.

Standard-Schweregrad: Mittel

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten missbrauchten Domains oder IP-Adressen verknüpft ist. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomainregistrierungen bieten, sowie dynamische Anbieter. DNS Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgelistete EC2 Amazon-Instance kann gefährdet sein, da Bedrohungsakteure diese Registrare oder Dienste häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/BitcoinDomainRequest.Reputation

Eine EC2 Instance fragt einen Domainnamen mit niedriger Reputation ab, der mit Aktivitäten im Zusammenhang mit Kryptowährungen in Verbindung steht.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instance verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Instance anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte dieses Ergebnis die erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Impact:EC2/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/MaliciousDomainRequest.Reputation

Eine EC2 Instanz fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains verknüpft ist.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen verknüpft ist. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/PortSweep

Eine EC2 Instance untersucht einen Port auf einer großen Anzahl von IP-Adressen.

Standard-Schweregrad: Hoch

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung einen Port auf einer großen Anzahl von öffentlich routbaren IP-Adressen untersucht. Diese Art von Aktivität wird in der Regel verwendet, um anfällige Hosts zu finden, die ausgenutzt werden können. Im Bereich mit den Suchdetails in Ihrer GuardDuty Konsole wird nur die neueste Remote-IP-Adresse angezeigt

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/SuspiciousDomainRequest.Reputation

Eine EC2 Instanz fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.

Standard-Schweregrad: Niedrig

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmen. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Impact:EC2/WinRMBruteForce

Eine EC2 Instance führt einen ausgehenden Windows Remote Management-Brute-Force-Angriff durch.

Standard-Schweregrad: Niedrig*

Anmerkung

Der Schweregrad dieses Ergebnisses ist gering, wenn Ihre EC2 Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieses Ergebnisses ist hoch, wenn es sich bei Ihrer EC2 Instance um den Akteur handelt, der für die Ausführung des Brute-Force-Angriffs verwendet wird.

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung einen Brute-Force-Angriff (Windows Remote Management, WinRM) ausführt, der darauf abzielt, Zugriff auf den Windows-Fernverwaltungsdienst auf Windows-basierten Systemen zu erhalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Recon:EC2/PortProbeEMRUnprotectedPort

Eine EC2 Instanz hat einen ungeschützten EMR zugehörigen Port, der von einem bekanntermaßen böswilligen Host untersucht wird.

Standard-Schweregrad: Hoch

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass ein EMR verwandter sensibler Port auf der aufgelisteten EC2 Instance, die Teil eines Clusters in Ihrer AWS Umgebung ist, nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine Firewall auf dem Host wie Linux IPTables blockiert wird. Dieses Ergebnis gibt auch Aufschluss darüber, dass bekannte Scanner im Internet diesen Port aktiv untersuchen. Ports, die diesen Befund auslösen können, z. B. Port 8088 (YARNWeb-UI-Port), könnten möglicherweise für die Remotecodeausführung verwendet werden.

Empfehlungen zur Abhilfe:

Sie sollten den offenen Zugang zu Ports auf Clustern aus dem Internet blockieren und den Zugang nur auf bestimmte IP-Adressen beschränken, die Zugang zu diesen Ports benötigen. Weitere Informationen finden Sie unter Sicherheitsgruppen für EMR Cluster.

Recon:EC2/PortProbeUnprotectedPort

Eine EC2 Instance hat einen ungeschützten Port, der von einem bekanntermaßen böswilligen Host untersucht wird.

Standard-Schweregrad: Niedrig*

Anmerkung

Der Standard-Schweregrad dieser Erkenntnis ist Niedrig. Wenn der Port, der untersucht wird, jedoch von Elasticsearch (9200 oder 9300) verwendet wird, ist der Schweregrad des Ergebnisses hoch.

  • Datenquelle: Flow-Logs VPC

Dieses Ergebnis informiert Sie darüber, dass ein Port auf der aufgelisteten EC2 Instanz in Ihrer AWS Umgebung nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine Firewall auf dem Host wie Linux IPTables blockiert wird und dass bekannte Scanner im Internet ihn aktiv untersuchen.

Wenn der identifizierte ungeschützte Port 22 oder 3389 ist und Sie sich über diese Ports mit Ihrer Instance verbinden, können Sie die Exposition dennoch einschränken, indem Sie den Zugriff auf diese Ports nur für die IP-Adressen aus dem IP-Adressraum Ihres Unternehmensnetzwerks zulassen. Informationen zum Einschränken des Zugriffs auf Port 22 unter Linux finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances. Informationen zum Einschränken des Zugriffs auf Port 3389 unter Windows finden Sie unter Autorisieren von eingehendem Datenverkehr für Windows-Instances.

GuardDuty generiert diesen Befund nicht für die Ports 443 und 80.

Empfehlungen zur Abhilfe:

In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Web-Server hosten. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/PortProbeUnprotectedPort verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Recon:EC2/Portscan

Eine EC2 Instance führt ausgehende Portscans zu einem Remote-Host durch.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance in Ihrer AWS Umgebung von einem möglichen Port-Scan-Angriff betroffen ist, da sie versucht, innerhalb eines kurzen Zeitraums eine Verbindung zu mehreren Ports herzustellen. Das Ziel eines Port-Scan-Angriffs ist die Ermittlung offener Ports, um zu ermitteln, welche Services und welches Betriebssystem der Computer ausführt.

Empfehlungen zur Abhilfe:

Dieses Ergebnis kann sich als falsch positiv erweisen, wenn Anwendungen zur Schwachstellenanalyse auf EC2 Instances in Ihrer Umgebung bereitgestellt werden, da diese Anwendungen Port-Scans durchführen, um Sie vor falsch konfigurierten offenen Ports zu warnen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/Portscan verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/BlackholeTraffic

Eine EC2 Instanz versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, bei dem es sich um ein bekanntes schwarzes Loch handelt.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieser Befund informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie versucht, mit der IP-Adresse eines schwarzen Lochs (oder einer Senke) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/BlackholeTraffic!DNS

Eine EC2 Instanz fragt einen Domainnamen ab, der an eine Black-Hole-IP-Adresse umgeleitet wird.

Standard-Schweregrad: Mittel

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DGADomainRequest.B

Eine EC2 Instanz fragt algorithmisch generierte Domänen ab. Solche Domains werden häufig von Malware verwendet und könnten ein Hinweis auf eine kompromittierte Instanz sein. EC2

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung versucht, Domänen des Algorithmus zur Domänengenerierung (DGA) abzufragen. Ihre EC2 Instance ist möglicherweise kompromittiert.

DGAswerden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Anmerkung

Dieses Ergebnis basiert auf der Analyse von Domainnamen mithilfe fortschrittlicher Heuristiken und kann neue DGA Domänen identifizieren, die nicht in Threat-Intelligence-Feeds enthalten sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DGADomainRequest.C!DNS

Eine EC2 Instanz fragt algorithmisch generierte Domänen ab. Solche Domains werden häufig von Malware verwendet und könnten ein Hinweis auf eine kompromittierte Instanz sein. EC2

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung versucht, Domänen des Algorithmus zur Domänengenerierung (DGA) abzufragen. Ihre EC2 Instance ist möglicherweise kompromittiert.

DGAswerden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Anmerkung

Dieses Ergebnis basiert auf bekannten DGA Domänen aus GuardDuty den Threat-Intelligence-Feeds.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DNSDataExfiltration

Eine EC2 Instanz exfiltriert Daten über DNS Abfragen.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass auf der aufgelisteten EC2 Instanz in Ihrer AWS Umgebung Malware ausgeführt wird, die DNS Abfragen für ausgehende Datenübertragungen verwendet. Diese Art der Datenübertragung weist auf eine kompromittierte Instance hin und kann zur Exfiltration von Daten führen. DNSDer Datenverkehr wird in der Regel nicht durch Firewalls blockiert. Beispielsweise kann Malware in einer kompromittierten EC2 Instanz Daten (wie Ihre Kreditkartennummer) in einer DNS Abfrage verschlüsseln und diese an einen DNS Remoteserver senden, der von einem Angreifer kontrolliert wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DriveBySourceTraffic!DNS

Eine EC2 Instanz fragt den Domainnamen eines Remote-Hosts ab, der eine bekannte Quelle für Drive-By-Download-Angriffe ist.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instanz in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie den Domainnamen eines Remote-Hosts abfragt, der eine bekannte Quelle für Drive-by-Download-Angriffe ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DropPoint

Eine EC2 Instanz versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/DropPoint!DNS

Eine EC2 Instanz fragt den Domainnamen eines Remote-Hosts ab, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung den Domainnamen eines Remote-Hosts abfragt, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Trojan:EC2/PhishingDomainRequest!DNS

Eine EC2 Instanz fragt Domains ab, die an Phishing-Angriffen beteiligt sind. Ihre EC2 Instance ist möglicherweise kompromittiert.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass es in Ihrer AWS Umgebung eine EC2 Instanz gibt, die versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2 Instanz versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder sie versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2 Instanz ist möglicherweise kompromittiert.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Eine EC2 Instance stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.

Standard-Schweregrad: Mittel

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung mit einer IP-Adresse kommuniziert, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. GuardDutyIn besteht eine Bedrohungsliste aus bekannten bösartigen IP-Adressen. GuardDutygeneriert Ergebnisse auf der Grundlage hochgeladener Bedrohungslisten. Die Bedrohungsliste, die zum Generieren dieser Suche verwendet wird, wird in den Details der Suche aufgeführt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

UnauthorizedAccess:EC2/MetadataDNSRebind

Eine EC2 Instanz führt DNS Suchvorgänge durch, die zum Metadatendienst der Instanz weitergeleitet werden.

Standard-Schweregrad: Hoch

  • Datenquelle: Protokolle DNS

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung eine Domain abfragt, die in die EC2 Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine DNS Abfrage dieser Art kann darauf hindeuten, dass die Instance das Ziel einer Rebinding-Technik ist. DNS Diese Technik kann verwendet werden, um Metadaten von einer EC2 Instanz abzurufen, einschließlich der mit der Instanz verknüpften IAM Anmeldeinformationen.

DNSBeim erneuten Binden wird eine Anwendung, die auf der EC2 Instanz ausgeführt wird, dazu gebracht, Rückgabedaten von einer zu ladenURL, wobei der Domainname in der zur EC2 Metadaten-IP-Adresse (169.254.169.254) URL aufgelöst wird. Dadurch wird die Anwendung veranlasst, auf EC2 Metadaten zuzugreifen und sie möglicherweise dem Angreifer zur Verfügung zu stellen.

Der Zugriff auf EC2 Metadaten mithilfe von DNS Rebinding ist nur möglich, wenn auf der EC2 Instanz eine anfällige Anwendung ausgeführt wird, die die Injektion von ermöglichtURLs, oder wenn jemand URL in einem Webbrowser, der auf der EC2 Instanz läuft, auf sie zugreift.

Empfehlungen zur Abhilfe:

Als Reaktion auf dieses Ergebnis sollten Sie prüfen, ob auf der EC2 Instance eine verwundbare Anwendung läuft oder ob jemand einen Browser verwendet hat, um auf die im Ergebnis identifizierte Domain zuzugreifen. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie feststellen, dass dieses Ergebnis mit einem der oben genannten Fälle zusammenhängt, brechen Sie die mit der EC2 Instanz verknüpfte Sitzung ab.

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte „DNSAnforderungsdomäne“ lauten und der Wert sollte mit der Domäne übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Eine EC2 Instanz war an Brute-Force-Angriffen beteiligt. RDP

Standard-Schweregrad: Niedrig*

Anmerkung

Der Schweregrad dieser Feststellung ist gering, wenn Ihre EC2 Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieses Ergebnisses ist hoch, wenn es sich bei Ihrer EC2 Instance um den Akteur handelt, der für die Ausführung des Brute-Force-Angriffs verwendet wird.

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für RDP Dienste auf Windows-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen.

Empfehlungen zur Abhilfe:

Wenn die Ressourcenrolle Ihrer Instanz lautetACTOR, bedeutet dies, dass Ihre Instanz für RDP Brute-Force-Angriffe verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer potenziell gefährdeten Amazon-Instance EC2 aufgeführten Maßnahmen zu ergreifen.

Wenn die Ressourcenrolle Ihrer Instance auf „Resource Role“ gesetzt istTARGET, können Sie dieses Problem beheben, indem Sie Ihren RDP Port nur IPs über Sicherheitsgruppen oder Firewalls so sichernACLs, dass er vertrauenswürdig ist. Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2 Instances (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Eine EC2 Instanz war an SSH Brute-Force-Angriffen beteiligt.

Standard-Schweregrad: Niedrig*

Anmerkung

Der Schweregrad dieser Feststellung ist gering, wenn ein Brute-Force-Angriff auf eine Ihrer EC2 Instances abzielt. Der Schweregrad dieses Ergebnisses ist hoch, wenn Ihre EC2 Instance zur Durchführung des Brute-Force-Angriffs verwendet wird.

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für SSH Dienste auf Linux-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen.

Anmerkung

Dieses Ergebnis wird nur über den -Überwachungsdatenverkehr auf Port 22 generiert. Wenn Ihre SSH Dienste für die Verwendung anderer Ports konfiguriert sind, wird dieses Ergebnis nicht generiert.

Empfehlungen zur Abhilfe:

Wenn das Ziel des Brute-Force-Versuchs ein Bastion-Host ist, kann dies ein erwartetes Verhalten für Ihre AWS Umgebung darstellen. In diesem Fall sollten Sie für dieses Ergebnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/SSHBruteForce verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Falls diese Aktivität für Ihre Umgebung nicht erwartet wird und die Ressourcenrolle Ihrer Instance bereits verwendet wirdTARGET, können Sie dieses Problem beheben, indem Sie Ihren SSH Port nur IPs über Sicherheitsgruppen oder Firewalls für vertrauenswürdige Ports sichern. ACLs Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2 Instances (Linux).

Wenn die Ressourcenrolle Ihrer Instance lautetACTOR, bedeutet dies, dass die Instance für SSH Brute-Force-Angriffe verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer potenziell gefährdeten Amazon-Instance EC2 aufgeführten Maßnahmen zu ergreifen.

UnauthorizedAccess:EC2/TorClient

Deine EC2 Instance stellt Verbindungen zu einem Tor Guard- oder einem Authority-Knoten her.

Standard-Schweregrad: Hoch

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert dich darüber, dass eine EC2 Instanz in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Verkehr kann darauf hinweisen, dass diese EC2 Instanz kompromittiert wurde und als Client in einem Tor-Netzwerk fungiert. Dieser Befund kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

UnauthorizedAccess:EC2/TorRelay

Ihre EC2 Instanz stellt als Tor-Relay Verbindungen zu einem Tor-Netzwerk her.

Standard-Schweregrad: Hoch

  • Datenquelle: VPC Flow-Logs

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.