Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
ECGuardDuty EC2Erkenntnistypen
Die folgenden Erkenntnisse sind spezifisch für Amazon-EC2-Ressourcen und haben immer einen Ressourcentyp von Instance. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Ressourcenrolle, die angibt, ob die EC2-Instance das Ziel verdächtiger Aktivitäten war oder der Akteur, der die Aktivitäten durchführte.
Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter Grundlegende Datenquellen.
Anmerkung
Bei einigen EC2-Erkenntnissen fehlen möglicherweise Instance-Details, wenn die Instance bereits beendet wurde oder wenn der zugrunde liegende API-Aufruf Teil eines regionenübergreifenden API-Aufrufs war, der von einer EC2-Instance in einer anderen Region ausging.
Für alle EC2-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen verwenden, um Falschmeldungen für diese Ressource zu verhindern. Wenn die Aktivität unerwartet auftritt, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass die Instance kompromittiert wurde, und die unter Behebung einer kompromittierten Amazon-EC2-Instance beschriebenen Aktionen auszuführen.
Themen
- Backdoor:EC2/C&CActivity.B
- Backdoor:EC2/C&CActivity.B!DNS
- Backdoor:EC2/DenialOfService.Dns
- Backdoor:EC2/DenialOfService.Tcp
- Backdoor:EC2/DenialOfService.Udp
- Backdoor:EC2/DenialOfService.UdpOnTcpPorts
- Backdoor:EC2/DenialOfService.UnusualProtocol
- Backdoor:EC2/Spambot
- Behavior:EC2/NetworkPortUnusual
- Behavior:EC2/TrafficVolumeUnusual
- CryptoCurrency:EC2/BitcoinTool.B
- CryptoCurrency:EC2/BitcoinTool.B!DNS
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
- Impact:EC2/AbusedDomainRequest.Reputation
- Impact:EC2/BitcoinDomainRequest.Reputation
- Impact:EC2/MaliciousDomainRequest.Reputation
- Impact:EC2/PortSweep
- Impact:EC2/SuspiciousDomainRequest.Reputation
- Impact:EC2/WinRMBruteForce
- Recon:EC2/PortProbeEMRUnprotectedPort
- Recon:EC2/PortProbeUnprotectedPort
- Recon:EC2/Portscan
- Trojan:EC2/BlackholeTraffic
- Trojan:EC2/BlackholeTraffic!DNS
- Trojan:EC2/DGADomainRequest.B
- Trojan:EC2/DGADomainRequest.C!DNS
- Trojan:EC2/DNSDataExfiltration
- Trojan:EC2/DriveBySourceTraffic!DNS
- Trojan:EC2/DropPoint
- Trojan:EC2/DropPoint!DNS
- Trojan:EC2/PhishingDomainRequest!DNS
- UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
- UnauthorizedAccess:EC2/MetadataDNSRebind
- UnauthorizedAccess:EC2/RDPBruteForce
- UnauthorizedAccess:EC2/SSHBruteForce
- UnauthorizedAccess:EC2/TorClient
- UnauthorizedAccess:EC2/TorRelay
Backdoor:EC2/C&CActivity.B
Eine EC2-Instance fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS-Umgebung eine IP-Adresse abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.
Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen PCs, Server, mobile Geräte und Geräte des Internets der Dinge gehören können, die mit einem allgemeinen Typ von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.
Anmerkung
Wenn die abgefragte IP log4j-bezogen ist, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:
-
service.additionalInfo .threatListName = Amazon
-
service.additionalInfo.ThreatName = Log4j-bezogen
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/C&CActivity.B!DNS
Eine EC2-Instance fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet wird.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS-Umgebung einen Domainnamen abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.
Ein Botnet ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen PCs, Server, mobile Geräte und Geräte des Internets der Dinge gehören können, die mit einem allgemeinen Typ von Malware infiziert sind und von dieser kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnets kann der C&C-Server auch den Befehl erteilen, einen DDoS (Distributed Denial of Service)-Angriff zu starten.
Anmerkung
Wenn der abgefragte Domainname mit log4j zu tun hat, enthalten die Felder der zugehörigen Erkenntnis die folgenden Werte:
-
service.additionalInfo .threatListName = Amazon
-
service.additionalInfo.ThreatName = Log4j-bezogen
Anmerkung
Um zu testen, wie diesen Erkenntnistyp GuardDuty generiert, können Sie eine DNS-Anfrage von Ihrer Instance (mit dig für Linux oder nslookup für Windows) gegen eine Testdomäne stellenguarddutyc2activityb.com.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/DenialOfService.Dns
Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des DNS-Protokolls genutzt wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine große Menge ausgehenden DNS-Datenverkehrs generiert. Dies kann darauf hinweisen, dass die aufgeführte Instance kompromittiert ist und mithilfe des DNS-Protokolls zur Durchführung von denial-of-service (DoS-)Angriffen verwendet wird.
Anmerkung
Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/DenialOfService.Tcp
Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des TCP-Protokolls genutzt wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine große Menge ausgehenden TCP-Datenverkehrs generiert. Dies kann darauf hinweisen, dass die Instance kompromittiert ist und mithilfe des TCP-Protokolls zur Durchführung von denial-of-service (DoS-)Angriffen verwendet wird.
Anmerkung
Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/DenialOfService.Udp
Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls genutzt wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert. Dies kann darauf hinweisen, dass die aufgeführte Instance kompromittiert ist und mithilfe des UDP-Protokolls zur Durchführung von denial-of-service (DoS-)Angriffen verwendet wird.
Anmerkung
Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/DenialOfService.UdpOnTcpPorts
Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls auf einem TCP-Port genutzt wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert, der auf einen Port zielt, der normalerweise für die TCP-Kommunikation verwendet wird. Dies kann darauf hinweisen, dass die aufgeführte Instance kompromittiert ist und verwendet wird, um einen denial-of-service (DoS)-Angriff mit dem UDP-Protokoll auf einem TCP-Port durchzuführen.
Anmerkung
Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/DenialOfService.UnusualProtocol
Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe eines ungewöhnlichen Protokolls genutzt wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine große Menge ausgehenden Datenverkehrs eines ungewöhnlichen Protokolltyps generiert, der normalerweise nicht von EC2-Instances verwendet wird (beispielsweise ein Internet Group Management Protocol). Dies kann darauf hinweisen, dass die Instance kompromittiert ist und verwendet wird, um denial-of-service (DoS)-Angriffe mit einem ungewöhnlichen Protokoll durchzuführen. Dieses Ergebnis erkennt nur DoS-Angriffe gegen öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Backdoor:EC2/Spambot
Eine EC2-Instance zeigt ungewöhnliches Verhalten, indem sie mit einem Remote-Host auf Port 25 kommuniziert.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung mit einem Remote-Host auf Port 25 kommuniziert. Dieses Verhalten ist ungewöhnlich, da die betreffende EC2-Instance zuvor nicht über Port 25 kommuniziert hat. Port 25 wird in der Regel von Mailservern für die SMTP-Kommunikation verwendet. Dieses Ergebnis weist darauf hin, dass Ihre EC2-Instance für den Einsatz beim Versenden von Spam möglicherweise kompromittiert ist.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Behavior:EC2/NetworkPortUnusual
Eine EC2-Instance kommuniziert auf einem unüblichen Serverport mit einem Remote-Host.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat früher nicht auf diesem Remote-Port kommuniziert.
Anmerkung
Wenn die EC2-Instance über Port 389 oder Port 1389 kommuniziert hat, wird der zugehörige Erkenntnis-Schweregrad auf Hoch geändert, und die Erkenntnisfelder enthalten den folgenden Wert:
-
service.additionalInfo.context = Möglicher log4j-Rückruf
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Behavior:EC2/TrafficVolumeUnusual
Eine EC2-Instance generiert ungewöhnlich große Mengen an Netzwerkdatenverkehr zu einem Remote-Host.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat bisher nicht derart viel Datenverkehr an diesen Remote-Host gesendet.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
CryptoCurrency:EC2/BitcoinTool.B
Eine EC2-Instance fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung eine IP-Adresse abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.
Empfehlungen zur Abhilfe:
Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
CryptoCurrency:EC2/BitcoinTool.B!DNS
Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.
Empfehlungen zur Abhilfe:
Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
DefenseEvasion:EC2/UnusualDNSResolver
Eine Amazon-EC2-Instance kommuniziert mit einem ungewöhnlichen öffentlichen DNS-Resolver.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit nicht mit diesem öffentlichen DNS-Resolver kommuniziert. Das Feld Unüblich im Bereich mit den Erkenntnisdetails in der GuardDuty Konsole kann Informationen über den abgefragten DNS-Resolver bereitstellen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
DefenseEvasion:EC2/UnusualDoHActivity
Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-HTTPS-Kommunikation (DoH) durch.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-HTTPS-Kommunikation (DoH) mit diesem öffentlichen DoH-Server durchgeführt. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoH-Server enthalten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
DefenseEvasion:EC2/UnusualDoTActivity
Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-TLS-Kommunikation (DoT) durch.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-TLS-Kommunikation (DoT) mit diesem öffentlichen DoT-Server durchgeführt. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoT-Server enthalten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/AbusedDomainRequest.Reputation
Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der mit bekanntermaßen missbrauchten Domains in Verbindung steht.
Standard-Schweregrad: Mittel
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten missbrauchten Domains oder IP-Adressen in Verbindung steht. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgeführte Amazon-EC2-Instance kann kompromittiert sein, da Bedrohungsakteure diese Registrare oder Services häufig für C&C und die Verbreitung von Malware nutzen.
Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/BitcoinDomainRequest.Reputation
Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Dieses Ergebnis informiert Sie, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.
Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.
Empfehlungen zur Abhilfe:
Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Impact:EC2/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/MaliciousDomainRequest.Reputation
Eine EC2-Instance fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains in Verbindung stehen.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen in Verbindung stehen. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.
Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/PortSweep
Eine EC2-Instance untersucht einen Port auf einer großen Anzahl von IP-Adressen.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung einen Port auf einer großen Anzahl von öffentlich routingfähige IP-Adressen untersucht. Diese Art von Aktivität wird in der Regel verwendet, um anfällige Hosts zu finden, die ausgenutzt werden können. Im Bereich mit den Erkenntnisdetails in Ihrer GuardDuty Konsole wird nur die neueste Remote-IP-Adresse angezeigt
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/SuspiciousDomainRequest.Reputation
Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.
Standard-Schweregrad: Niedrig
-
Datenquelle: DNS-Protokolle
Dieses Ergebnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmten. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.
Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Impact:EC2/WinRMBruteForce
Eine EC2-Instance führt einen ausgehenden Brute-Force-Angriff für die Windows-Remoteverwaltung durch.
Standard-Schweregrad: Niedrig*
Anmerkung
Der Schweregrad dieser Erkenntnis ist niedrig, wenn Ihre EC2-Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance der zum Ausführen eines Brute-Force-Angriffs verwendete Akteur ist.
-
Datenquelle: VPC-Flow-Protokolle
Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung einen Windows Remote Management (WinRM)-Brute-Force-Angriff durchführt, der darauf abzielt, Zugriff auf den Windows-Remote-Management-Service auf Windows-basierten Systemen zu erhalten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Recon:EC2/PortProbeEMRUnprotectedPort
Eine EC2-Instance verfügt über einen ungeschützten EMR-bezogenen Port, der von einem bekannten böswilligen Host untersucht wird.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass ein EMR-bezogener sensibler Port auf der aufgelisteten EC2-Instance, der Teil eines Clusters in Ihrer AWS Umgebung ist, nicht von einer Sicherheitsgruppe, einer Zugriffskontrollliste (ACL) oder einer Host-Firewall wie Linux IPTables blockiert wird. Diese Erkenntnis informiert auch darüber, dass bekannte Kabel im Internet diesen Port aktiv untersuchen. Ports, die diese Erkenntnis auslösen können, z. B. Port 8088 (YARN Web-UI-Port), könnten potenziell für die Remote-Code-Ausführung genutzt werden.
Empfehlungen zur Abhilfe:
Sie sollten den offenen Zugang zu Ports auf Clustern aus dem Internet blockieren und den Zugang nur auf bestimmte IP-Adressen beschränken, die Zugang zu diesen Ports benötigen. Weitere Informationen finden Sie unter Sicherheitsgruppen für EMR-Cluster.
Recon:EC2/PortProbeUnprotectedPort
Eine EC2-Instance hat einen ungeschützten Port, der von einem bekannten böswilligen Host getestet wird.
Standard-Schweregrad: Niedrig*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Niedrig. Wenn jedoch der untersuchte Port von Elasticsearch (9200 oder 9300) verwendet wird, ist der Schweregrad der Erkenntnis Hoch.
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie, dass ein Port auf der aufgeführten EC2-Instance in Ihrer AWS-Umgebung nicht durch eine Sicherheitsgruppe, eine Zugriffssteuerungsliste (ACL) oder eine On-Host-Firewall wie Linux IPTables blockiert ist und derzeit aktiv von bekannten Scannern im Internet untersucht wird.
Wenn der identifizierte ungeschützte Port 22 oder 3389 ist und Sie sich über diese Ports mit Ihrer Instance verbinden, können Sie die Exposition dennoch einschränken, indem Sie den Zugriff auf diese Ports nur für die IP-Adressen aus dem IP-Adressraum Ihres Unternehmensnetzwerks zulassen. Informationen zum Einschränken des Zugriffs auf Port 22 unter Linux finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances. Informationen zum Einschränken des Zugriffs auf Port 3389 unter Windows finden Sie unter Autorisieren von eingehendem Datenverkehr für Windows-Instances.
GuardDuty generiert diese Erkenntnis nicht für die Ports 443 und 80.
Empfehlungen zur Abhilfe:
In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Web-Server hosten. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/PortProbeUnprotectedPort verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Recon:EC2/Portscan
Eine EC2-Instance führt ausgehende Port-Scans an einem Remote-Host durch.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung an einem möglichen Port-Scan-Angriff beteiligt ist, da sie versucht, in kurzer Zeit Verbindungen zu mehreren Ports herzustellen. Das Ziel eines Port-Scan-Angriffs ist die Ermittlung offener Ports, um zu ermitteln, welche Services und welches Betriebssystem der Computer ausführt.
Empfehlungen zur Abhilfe:
Diese Erkenntnis kann falsch positiv sein, wenn Anwendungen zur Schwachstellenbewertung auf EC2-Instances in der Umgebung bereitgestellt werden, weil diese Anwendungen Port-Scans durchführen, um Sie über falsch konfigurierte offene Ports zu informieren. Wenn dies in Ihrer AWS-Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/Portscan verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/BlackholeTraffic
Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung möglicherweise kompromittiert wurde, da sie versucht, mit einer IP-Adresse eines schwarzen Lochs (oder eines Sinkholes) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/BlackholeTraffic!DNS
Eine EC2-Instance fragt einen Domainnamen ab, der an eine die IP-Adresse eines schwarzen Lochs weitergeleitet wird.
Standard-Schweregrad: Mittel
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung möglicherweise kompromittiert wurde, da sie einen Domainnamen abfragt, der an eine IP-Adresse eines schwarzen Lochs weitergeleitet wird. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DGADomainRequest.B
Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.
DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl an Domainnamen zu generieren, die als Rendezvous Points mit ihren Command-and-Control (C&C)-Servern verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.
Anmerkung
Diese Erkenntnis basiert auf der Analyse von Domainnamen mit erweiterten Heuristiken und kann daher neue DGA-Domains identifizieren, die nicht in Bedrohungsdaten-Feeds vorhanden sind.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DGADomainRequest.C!DNS
Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.
DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl an Domainnamen zu generieren, die als Rendezvous Points mit ihren Command-and-Control (C&C)-Servern verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.
Anmerkung
Diese Erkenntnis basiert auf bekannten DGA-Domains aus GuardDutyden Bedrohungsinformationen-Feeds von .
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DNSDataExfiltration
Eine EC2-Instance filtert Daten durch DNS-Abfragen heraus.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung Malware ausführt, die DNS-Abfragen für ausgehende Datenübertragungen verwendet. Diese Art der Datenübertragung weist auf eine kompromittierte Instance hin und kann zur Exfiltration von Daten führen. DNS-Datenverkehr wird in der Regel nicht durch Firewalls gesperrt. So kann beispielsweise Malware in einer kompromittierten EC2-Instance Daten verschlüsseln (z. B. Ihre Kreditkartennummer) und in einer DNS-Abfrage an einen entfernten DNS-Server senden, der von einem Angreifer gesteuert wird.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DriveBySourceTraffic!DNS
Eine EC2-Instance fragt einen Domainnamen eines Remote-Host ab, der eine bekannte Quelle von Drive-By-Downloadangriffen ist.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS-Umgebung möglicherweise kompromittiert wurde, da Sie einen Domainnamen von einem Remote-Host abfragt, der eine bekannte Quelle von Drive-By-Download-Angriffen ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DropPoint
Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie, dass eine EC2-Instance in Ihrer AWS-Umgebung versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/DropPoint!DNS
Eine EC2-Instance fragt einen Domainnamen eines Remote-Hosts ab, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.
Standard-Schweregrad: Mittel
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie, dass eine EC2-Instance in Ihrer AWS-Umgebung einen Domainnamen eines Remote-Hosts abfragt, von dem bekannt ist, dass er Anmeldeinformationen und andere mithilfe von Malware gestohlene Daten enthält.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
Trojan:EC2/PhishingDomainRequest!DNS
Eine EC2-Instance fragt Domänen ab, die an Phishing-Angriffen beteiligt sind. Ihre EC2-Instance wurde möglicherweise kompromittiert.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2-Instance versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder sie versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2-Instance wurde möglicherweise kompromittiert.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
Eine EC2-Instance stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.
Standard-Schweregrad: Mittel
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung mit einer IP-Adresse kommuniziert, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. In GuardDuty besteht eine Bedrohungsliste aus bekannten schädlichen IP-Adressen. GuardDuty generiert Ergebnisse basierend auf hochgeladenen Bedrohungslisten. Die Bedrohungsliste, die zum Generieren dieser Suche verwendet wird, wird in den Details der Suche aufgeführt.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
UnauthorizedAccess:EC2/MetadataDNSRebind
Eine EC2-Instance führt DNS-Abrufe durch, die in den Instance-Metadatenservice aufgelöst werden.
Standard-Schweregrad: Hoch
-
Datenquelle: DNS-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung eine Domain abfragt, die in die IP-Adresse der EC2-Metadaten (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Neubindung-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2-Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.
Bei der DNS-Neubindung wird eine Anwendung, die auf der EC2-Instance läuft, dazu gebracht, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die IP-Adresse der EC2-Metadaten (169.254.169.254) aufgelöst wird. Dies bewirkt, dass die Anwendung auf EC2-Metadaten zugreift und sie möglicherweise für den Angreifer verfügbar macht.
Der Zugriff auf EC2-Metadaten mit DNS-Neubindung ist nur möglich, wenn auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, die das Einfügen von URLs ermöglicht, oder wenn ein menschlicher Benutzer in einem Webbrowser, der auf der EC2-Instance ausgeführt wird, auf die URL zugreift.
Empfehlungen zur Abhilfe:
Prüfen Sie als Reaktion auf diese Erkenntnis, ob auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, oder ob ein menschlicher Benutzer über einen Browser auf die im Ergebnis angegebene Domain zugegriffen hat. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie in dieser Erkenntnis einen Zusammenhang mit einem der obigen Fälle feststellen, sollten Sie die der EC2-Instance zugeordnete Sitzung widerrufen.
Einige AWS-Kunden ordnen die IP-Adresse der Metadaten absichtlich einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
UnauthorizedAccess:EC2/RDPBruteForce
Eine EC2-Instance war an RDP-Brute-Force-Angriffen beteiligt.
Standard-Schweregrad: Niedrig*
Anmerkung
Der Schweregrad dieser Erkenntnis ist niedrig, wenn Ihre EC2-Instance das Ziel eines Brute-Force-Angriffs war. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance der zum Ausführen eines Brute-Force-Angriffs verwendete Akteur ist.
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung an einem Brute-Force-Angriff beteiligt war, der auf die Beschaffung von Passwörtern für RDP-Services auf Windows-basierten Systemen ausgerichtet war. Dies kann auf einen unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen.
Empfehlungen zur Abhilfe:
Wenn die Ressourcenrolle Ihrer Instance ACTOR lautet, bedeutet dies, dass Ihre Instance zum Ausführen von RDP-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer kompromittierten Amazon-EC2-Instance aufgeführten Maßnahmen zu ergreifen.
Wenn die Ressourcenrolle Ihrer Instance TARGET lautet, kann dieses Problem behoben werden, indem Sie Ihren RDP-Port mit Hilfe von Sicherheitsgruppen, ACLs oder Firewalls nur für vertrauenswürdige IPs sichern. Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2-Instances (Linux)
UnauthorizedAccess:EC2/SSHBruteForce
Eine EC2-Instance war an SSH-Brute-Force-Angriffen beteiligt.
Standard-Schweregrad: Niedrig*
Anmerkung
Der Schweregrad dieser Erkenntnis ist niedrig, wenn ein Brute-Force-Angriff auf eine Ihrer EC2-Instances abzielt. Der Schweregrad dieser Erkenntnis ist hoch, wenn Ihre EC2-Instance verwendet wird, um einen Brute-Force-Angriff durchzuführen.
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung an einem Brute-Force-Angriff beteiligt war, der auf die Beschaffung von Passwörtern für SSH-Services auf Linux-basierten Systemen ausgerichtet war. Dies kann auf einen unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen.
Anmerkung
Dieses Ergebnis wird nur über den -Überwachungsdatenverkehr auf Port 22 generiert. Wenn Ihre SSH-Services konfiguriert sind, um andere Ports zu verwenden, wird dieses Ergebnis nicht generiert.
Empfehlungen zur Abhilfe:
Wenn das Ziel des versuchten Brute-Force-Angriffs ein Bastion-Host ist, kann dies das erwartete Verhalten für die betreffende AWS-Umgebung darstellen. In diesem Fall sollten Sie für dieses Ergebnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/SSHBruteForce verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.
Wenn diese Aktivitäten für Ihre Umgebung nicht erwartet werden und die Ressourcenrolle Ihrer Instance TARGET lautet, kann diese Erkenntnis behoben werden, indem Sie Ihren SSH-Port mit Hilfe von Sicherheitsgruppen, ACLs oder Firewalls nur für vertrauenswürdige IPs sichern. Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2-Instances (Linux)
Wenn die Ressourcenrolle Ihrer Instance ACTOR lautet, bedeutet dies, dass die Instance zum Ausführen von SSH-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer kompromittierten Amazon-EC2-Instance aufgeführten Maßnahmen zu ergreifen.
UnauthorizedAccess:EC2/TorClient
Ihre EC2-Instance stellt Verbindungen mit einem Tor Guard oder einem Authority-Knoten her.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung Verbindungen zu einem Tor-Guard oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese EC2-Instance als Client in einem Tor-Netzwerk fungiert. Diese Erkenntnis kann auf einen unbefugten Zugriff auf die AWS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
UnauthorizedAccess:EC2/TorRelay
Ihre EC2-Instance stellt Verbindungen mit einem Tor-Netzwerk als Tor-Relais her.
Standard-Schweregrad: Hoch
-
Datenquelle: VPC-Flow-Protokolle
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer kompromittierten Amazon-EC2-Instance.
