Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Nicht mehr aktive Erkenntnistypen
Eine Erkenntnis ist eine Benachrichtigung, die Details zu einem von GuardDuty festgestellten potenziellen Sicherheitsrisiko enthält. Weitere Informationen über wichtige Änderungen an den GuardDuty-Ergebnistypen, einschließlich neu hinzugefügter oder nicht mehr aktiver Ergebnistypen, finden Sie unter Dokumentenverlauf für Amazon GuardDuty.
Die folgenden Erkenntnistypen wurden eingestellt und werden nicht mehr von GuardDuty generiert.
Wichtig
Sie können nicht mehr aktive GuardDuty-Erkenntnistypen nicht reaktivieren.
Themen
- Exfiltration:S3/ObjectRead.Unusual
- Impact:S3/PermissionsModification.Unusual
- Impact:S3/ObjectDelete.Unusual
- Discovery:S3/BucketEnumeration.Unusual
- Persistence:IAMUser/NetworkPermissions
- Persistence:IAMUser/ResourcePermissions
- Persistence:IAMUser/UserPermissions
- PrivilegeEscalation:IAMUser/AdministrativePermissions
- Recon:IAMUser/NetworkPermissions
- Recon:IAMUser/ResourcePermissions
- Recon:IAMUser/UserPermissions
- ResourceConsumption:IAMUser/ComputeResources
- Stealth:IAMUser/LoggingConfigurationModified
- UnauthorizedAccess:IAMUser/ConsoleLogin
- UnauthorizedAccess:EC2/TorIPCaller
- Backdoor:EC2/XORDDOS
- Behavior:IAMUser/InstanceLaunchUnusual
- CryptoCurrency:EC2/BitcoinTool.A
- UnauthorizedAccess:IAMUser/UnusualASNCaller
Exfiltration:S3/ObjectRead.Unusual
Eine IAM-Entität hat eine S3-API auf verdächtige Weise aufgerufen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
-
Datenquelle: CloudTrail-Datenereignisse für S3
Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS-Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen und die sich von der festgelegten Grundlinie dieser Entität unterscheiden. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Impact:S3/PermissionsModification.Unusual
Eine IAM-Entität hat eine API aufgerufen, um die Berechtigungen für eine oder mehrere S3-Ressourcen zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität API-Aufrufe durchführt, um die Berechtigungen für einen oder mehrere Buckets oder Objekte in Ihrer AWS-Umgebung zu ändern. Diese Aktion kann von einem Angreifer ausgeführt werden, um die Weitergabe von Informationen außerhalb des Kontos zu ermöglichen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Impact:S3/ObjectDelete.Unusual
Eine IAM-Entität rief eine API zum Löschen von Daten in einem S3-Bucket auf.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Dieses Ergebnis informiert Sie darüber, dass eine bestimmte IAM-Entität in Ihrer AWS-Umgebung API-Aufrufe durchführt, um Daten im aufgeführten S3-Bucket zu löschen, indem der Bucket selbst gelöscht wird. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Discovery:S3/BucketEnumeration.Unusual
Eine IAM-Entität hat eine S3-API aufgerufen, um S3-Buckets in Ihrem Netzwerk zu erkennen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität eine S3-API aufgerufen hat, um S3-Buckets in Ihrer Umgebung zu erkennen, z. B. ListBuckets. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS-Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Persistence:IAMUser/NetworkPermissions
Ein IAM-Entität hat eine API aufgerufen, die üblicherweise verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem AWS-Konto zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis bedeutet, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) in Ihrer AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Netzwerkkonfigurationseinstellungen unter verdächtigen Umständen geändert werden, z. B. wenn ein Prinzipal die CreateSecurityGroup-API aufruft, ohne dies jemals in der Vergangenheit getan zu haben. Angreifer versuchen häufig, Sicherheitsgruppen zu ändern, um bestimmten eingehenden Datenverkehr auf verschiedenen Ports zuzulassen und besser auf eine EC2-Instance zugreifen zu können.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Persistence:IAMUser/ResourcePermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise verwendet wird, um Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem AWS-Konto zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis bedeutet, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) in Ihrer AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn eine Änderung an Richtlinien oder Berechtigungen festgestellt wird, die mit AWS-Ressourcen verknüpft sind, z. B. wenn ein Prinzipal in Ihrer AWS-Umgebung die PutBucketPolicy API aufruft, ohne dies je in der Vergangenheit getan zu haben. Einige Services, z. B. Amazon S3, unterstützen ressourcengebundene Berechtigungen, die einem oder mehreren Prinzipalen Zugriff auf die Ressource gewähren. Mit gestohlenen Anmeldeinformationen können Angreifer die einer Ressource zugeordneten Richtlinien ändern, um sich künftig Zugriff auf diese Ressource zu verschaffen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Persistence:IAMUser/UserPermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise dazu verwendet wird, IAM-Benutzer, Gruppen oder Richtlinien in Ihrem AWS-Konto hinzuzufügen, zu ändern oder zu löschen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis bedeutet, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) in Ihrer AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird durch verdächtige Änderungen an den benutzerbezogenen Berechtigungen in Ihrer AWS Umgebung ausgelöst, z. B. wenn ein Principal in Ihrer AWS-Umgebung die AttachUserPolicy-API aufruft, ohne dies je in der Vergangenheit getan zu haben. Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Beispielsweise könnte der Besitzer des Kontos feststellen, dass ein bestimmter IAM-Benutzer oder ein bestimmtes IAM-Passwort gestohlen wurde, und es aus dem Konto löschen. Andere Benutzer, die von einem betrügerisch erstellten Administratorprinzipal erstellt wurden, werden jedoch möglicherweise nicht gelöscht, sodass der Angreifer auf ihr AWS-Konto zugreifen kann.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Ein Prinzipal hat versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen.
Standard-Schweregrad: Niedrig*
Anmerkung
Wenn der Angriff auf die Berechtigungseskalation nicht erfolgreich war, ist der Schweregrad des Ergebnises „Niedrig“, wenn der Angriff erfolgreich war, ist der Schweregrad „Mittel“.
Diese Erkenntnis informiert Sie darüber, dass ein bestimmter IAM-Entität in Ihrer AWS-Umgebung ein Verhalten zeigt, das auf einen ein Rechteeskalationsangriff hinweist. Diese Erkenntnis wird ausgelöst, wenn ein IAM-Benutzer oder eine Rolle versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen. Wenn der/die entsprechende Benutzer oder Rolle nicht über administrative Rechte verfügen darf, können entweder die Anmeldeinformationen des Benutzers kompromittiert sein oder die Berechtigungen der Rolle wurden nicht ordnungsgemäß konfiguriert.
Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Der Eigentümer des Kontos stellt möglicherweise fest, dass ein bestimmter IAM-Benutzer oder ein Passwort gestohlen wurden, und löscht diese aus dem Konto. Hierbei entfernt er aber möglicherweise andere Benutzer nicht, die vom betrügerisch angelegten Admin-Prinzipal angelegt wurden, sodass ihr AWS-Konto dem Angreifer weiterhin zur Verfügung steht.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Recon:IAMUser/NetworkPermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem AWS-Konto zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis bedeutet, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) in Ihrer AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS-Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die DescribeInstances-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um in Kenntnis Ihrer AWS-Ressourcen zu gelangen, um wertvolle Informationen herauszufinden oder festzustellen, welcher Funktionsumfang den Anmeldeinformationen bereits zur Verfügung steht.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Recon:IAMUser/ResourcePermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise verwendet wird, um Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem AWS-Konto zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis bedeutet, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) in Ihrer AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS-Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die DescribeInstances-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um in Kenntnis Ihrer AWS-Ressourcen zu gelangen, um wertvolle Informationen herauszufinden oder festzustellen, welcher Funktionsumfang den Anmeldeinformationen bereits zur Verfügung steht.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Recon:IAMUser/UserPermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise dazu verwendet wird, IAM-Benutzer, Gruppen oder Richtlinien in Ihrem AWS-Konto hinzuzufügen, zu ändern oder zu löschen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis wird ausgelöst, wenn Benutzerberechtigungen in Ihrer AWS-Umgebung unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) zum ersten Mal die ListInstanceProfilesForRole-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um in Kenntnis Ihrer AWS-Ressourcen zu gelangen, um wertvolle Informationen herauszufinden oder festzustellen, welcher Funktionsumfang den Anmeldeinformationen bereits zur Verfügung steht.
Diese Erkenntnis zeigt an, dass ein bestimmter Prinzipal in der AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
ResourceConsumption:IAMUser/ComputeResources
Ein Prinzipal hat eine API aufgerufen, die häufig zum Starten von Datenverarbeitungsressourcen verwendet wird, wie beispielsweise EC2-Instances.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis wird ausgelöst, wenn EC2-Instances im aufgeführten Konto in Ihrer AWS-Umgebung unter fragwürdigen Umständen gestartet werden. Diese Erkenntnis deutet darauf hin, dass ein bestimmter Prinzipal in Ihrer AWS-Umgebung ein Verhalten zeigt, das von der etablierten Grundlinie abweicht, z. B. wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle oder IAM-Benutzer) die RunInstances-API aufruft, ohne dies zuvor jemals getan zu haben. Dies kann ein Anzeichen für ein Angreifer sein, der gestohlene Anmeldeinformationen nutzt, um Rechenzeit zu stehlen (beispielsweise für das Mining von Kryptowährung, oder zum Entschlüsseln von Passwörtern). Es kann auch ein Hinweis auf einen Angreifer sein, der eine EC2-Instance in Ihrer AWS-Umgebung und ihre Anmeldeinformationen nutzt, um auf Ihr Konto zuzugreifen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
Stealth:IAMUser/LoggingConfigurationModified
Ein Prinzipal hat eine API aufgerufen, die üblicherweise verwendet wird, um die CloudTrail-Protokollierung zu beenden, vorhandene Protokolle zu löschen und anderweitig Aktivitätsspuren aus Ihrem AWS-Konto zu entfernen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Diese Erkenntnis wird ausgelöst, wenn die Protokollierungskonfiguration in dem aufgeführten AWS-Konto in Ihrer Umgebung unter fragwürdigen Umständen geändert wird. Diese Erkenntnis deutet darauf hin, dass ein bestimmter Prinzipal in Ihrer AWS-Umgebung ein Verhalten zeigt, das von der etablierten Grundlinie abweicht, z. B. wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle oder IAM-Benutzer) die StopLogging-API aufruft, ohne dies zuvor jemals getan zu haben. Dies kann darauf hinweisen, dass ein Angreifer versucht, seine Spuren zu verwischen, indem er alle Anzeichen von Aktivität entfernt.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
UnauthorizedAccess:IAMUser/ConsoleLogin
In Ihrem AWS-Konto wurde eine ungewöhnliche Konsolen-Anmeldung durch einen Prinzipal festgestellt.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS-Anmeldeinformationen aufgerufen wird, die auf einer -Instance erstellt wurden, ist der Schweregrad des Ergebnisses Hoch.
Dieses Ergebnis wird ausgelöst, wenn eine Konsolenanmeldung unter fragwürdigen Umständen erkannt wird. Dies ist beispielsweise dann der Fall, wenn ein Prinzipal die ConsoleLogin-API zum ersten Mal von einem nie zuvor verwendeten Client oder von einem ungewöhnlichen Standort aus aufgerufen hat. Dies könnte darauf hinweisen, dass gestohlene Anmeldeinformationen verwendet werden, um Zugriff auf Ihr AWS-Konto zu erlangen, oder dass ein gültiger Benutzer auf ungültige oder wenig sichere Weise auf das Konto zugreift (z. B. nicht über ein zugelassenes VPN).
Diese Erkenntnis informiert Sie darüber, dass ein bestimmter Prinzipal in der AWS-Umgebung ein Verhalten zeigt, das von seinem normalen Verhalten abweicht. Für diesen Prinzipal gibt es keinen vorherigen Verlauf von Anmeldeaktivitäten mit dieser Client-Anwendung von diesem bestimmten Standort aus.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
UnauthorizedAccess:EC2/TorIPCaller
Ihre EC2-Instance erhält eingehende Verbindungen von einem Tor-Exit-Knoten.
Standard-Schweregrad: Mittel
Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS-Umgebung eingehende Verbindungen von einem Tor-Ausgangsknotens erhält. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Diese Erkenntnis kann auf einen unbefugten Zugriff auf die AWS-Ressourcen hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.
Backdoor:EC2/XORDDOS
Eine EC2-Instance versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR-DDoS-Malware in Verbindung steht.
Standard-Schweregrad: Hoch
Diese Erkenntnis informiert Sie, dass eine EC2-Instance in der AWS-Umgebung versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR-DDoS-Malware in Verbindung steht. Diese EC2-Instance wurde möglicherweise kompromittiert. XOR DDoS ist eine Trojaner-Malware, die Linux-Systeme kapert. Um Zugriff auf das System zu erhalten, startet sie einen Brute-Force-Angriff, um das Passwort für Secure Shell (SSH)-Services auf Linux zu ermitteln. Nachdem die SSH-Anmeldeinformationen erlangt wurden und die Anmeldung erfolgreich war, wird ein Skript mit Root-Berechtigungen ausgeführt, um XOR DDoS herunterzuladen und zu installieren. Diese Malware wird dann als Teil eines Botnets verwendet, um verteilte DDoS-Angriffe (Distributed Denial-of-Service) auf andere Ziele zu durchzuführen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.
Behavior:IAMUser/InstanceLaunchUnusual
Ein Benutzer hat eine EC2-Instance eines ungewöhnlichen Typs gestartet.
Standard-Schweregrad: Hoch
Diese Erkenntnis informiert Sie, dass ein bestimmter Benutzer in Ihrer AWS-Umgebung ein Verhalten zeigt, das sich von seinem normalen Verhalten unterscheidet. Dieser Benutzer hat bisher keine EC2-Instance dieses Typs gestartet. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
CryptoCurrency:EC2/BitcoinTool.A
Eine EC2-Instance kommuniziert mit Bitcoin-Mining-Pools.
Standard-Schweregrad: Hoch
Diese Erkenntnis informiert Sie, dass eine EC2-Instance in Ihrer AWS-Umgebung mit Bitcoin-Mining-Pools kommuniziert. Beim Mining von Kryptowährungen werden Ressourcen in einem Pool kombiniert, damit die Verarbeitungsleistung über ein Netzwerk gemeinsam genutzt werden kann. Der Gewinn wird dann nach Maßgabe der zur Lösung des Blocks beigetragenen Arbeit aufgeteilt. Wenn Sie diese EC2-Instance nicht für Bitcoin-Mining verwenden, könnte Ihre EC2-Instance kompromittiert worden sein.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.
UnauthorizedAccess:IAMUser/UnusualASNCaller
Eine API wurde von einer IP-Adresse eines unüblichen Netzwerks aufgerufen.
Standard-Schweregrad: Hoch
Dieses Ergebnis informiert Sie darüber, dass eine bestimmte Aktivität von einer IP-Adresse eines unüblichen Netzwerks aufgerufen wurde. Dieses Netzwerk wurde im gesamten AWS-Nutzungsverlauf des beschriebenen Benutzers noch nie beobachtet. Diese Aktivität kann eine Konsolen-Anmeldung, einen Versuch, eine EC2-Instance zu starten, einen neuen IAM-Benutzer anzulegen, Ihre AWS-Privilegien zu ändern usw. beinhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.
