GuardDuty Tipos de búsqueda de Runtime Monitoring - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecutedExecution:Runtime/SuspiciousShellCreatedPrivilegeEscalation:Runtime/ElevationToRootDiscovery:Runtime/SuspiciousCommandPersistence:Runtime/SuspiciousCommandPrivilegeEscalation:Runtime/SuspiciousCommand

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Tipos de búsqueda de Runtime Monitoring

Amazon GuardDuty genera los siguientes resultados de Runtime Monitoring para indicar posibles amenazas en función del comportamiento a nivel del sistema operativo de los EC2 hosts y contenedores de Amazon en sus EKS clústeres de Amazon, las cargas de trabajo de Fargate y Amazon y las instancias de ECS Amazon. EC2

nota

Los tipos de resultados de la Supervisión en tiempo de ejecución se obtienen según los registros de tiempo de ejecución recopilados de los hosts. Los registros contienen campos, como las rutas de los archivos, que puede controlar un agente malicioso. Estos campos también se incluyen en los GuardDuty resultados para proporcionar un contexto de tiempo de ejecución. Al procesar los resultados de Runtime Monitoring fuera de la GuardDuty consola, debe desinfectar los campos de búsqueda. Por ejemplo, puede HTML codificar los campos de búsqueda cuando los muestre en una página web.

Temas

CryptoCurrency:Runtime/BitcoinTool.B

Una EC2 instancia de Amazon o un contenedor están consultando una dirección IP asociada a una actividad relacionada con las criptomonedas.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia o un contenedor de la lista en su AWS entorno está consultando una dirección IP asociada a una actividad relacionada con las criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si utilizas esta EC2 instancia o un contenedor para extraer o gestionar criptomonedas, o si alguno de ellos está implicado de algún modo en la actividad de la cadena de bloques, CryptoCurrency:Runtime/BitcoinTool.B el hallazgo podría representar la actividad esperada para su entorno. Si este es el caso en su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Backdoor:Runtime/C&CActivity.B

Una EC2 instancia de Amazon o un contenedor consulta una IP asociada a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia o un contenedor de la lista dentro de su AWS entorno está consultando una IP asociada a un servidor de comando y control (C&C) conocido. La instancia o el contenedor que aparecen en la lista podrían estar potencialmente afectados. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Una botnet es un conjunto de dispositivos conectados a Internet que pueden incluir servidoresPCs, dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Según el propósito y la estructura de la botnet, el servidor de C&C también puede emitir comandos para iniciar un ataque de denegación de servicio distribuido (). DDoS

nota

Si la IP consultada está relacionada con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/TorRelay

Tu EC2 instancia de Amazon o un contenedor se conecta a una red Tor como un repetidor Tor.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo te indica que una EC2 instancia o un contenedor de tu AWS entorno está haciendo conexiones a una red Tor de una manera que sugiere que actúa como un repetidor Tor. Tor es un software que permite las comunicaciones anónimas. Tor incrementa el anonimato en la comunicación, ya que reenvía el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.

El agente GuardDuty de ejecución monitorea los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/TorClient

Tu EC2 instancia de Amazon o un contenedor se conecta a un nodo de Tor Guard o Authority.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo te indica que una EC2 instancia o un contenedor de tu AWS entorno se está conectando a un nodo de Tor Guard o de Authority. Tor es un software que permite las comunicaciones anónimas. Los guardias Tor y los nodos Authority actúan como gateways a una red Tor. Este tráfico puede indicar que esta EC2 instancia o el contenedor se han visto potencialmente comprometidos y actúan como clientes en una red Tor. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/BlackholeTraffic

Una EC2 instancia de Amazon o un contenedor intenta comunicarse con una dirección IP de un host remoto que es un agujero negro conocido.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia o un contenedor de la lista en su AWS entorno podrían estar comprometidos porque están intentando comunicarse con la dirección IP de un agujero negro (o sumidero). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DropPoint

Una EC2 instancia de Amazon o un contenedor intenta comunicarse con una dirección IP de un host remoto que se sabe que contiene credenciales y otros datos robados capturados por el malware.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que una EC2 instancia o un contenedor de su AWS entorno está intentando comunicarse con una dirección IP de un host remoto del que se sabe que guarda credenciales y otros datos robados capturados por el malware.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Una EC2 instancia de Amazon o un contenedor están consultando un nombre de dominio asociado a una actividad de criptomonedas.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la EC2 instancia o contenedor de su AWS entorno que aparece en la lista está consultando un nombre de dominio asociado a Bitcoin u otra actividad relacionada con las criptomonedas. Los actores de las amenazas pueden intentar tomar el control de los recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si utilizas esta EC2 instancia o contenedor para extraer o gestionar criptomonedas, o si alguno de ellos está implicado de algún modo en la actividad de la cadena de bloques, CryptoCurrency:Runtime/BitcoinTool.B!DNS encontrar podría ser una actividad esperada para su entorno. Si este es el caso en su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtrado. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad de criptomonedas o cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Backdoor:Runtime/C&CActivity.B!DNS

Una EC2 instancia de Amazon o un contenedor está consultando un nombre de dominio que está asociado a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia listada o el contenedor de su AWS entorno están consultando un nombre de dominio asociado a un servidor de comando y control (C&C) conocido. La EC2 instancia o el contenedor de la lista podrían estar comprometidos. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Una botnet es un conjunto de dispositivos conectados a Internet que pueden incluir servidoresPCs, dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Según el propósito y la estructura de la botnet, el servidor de C&C también puede emitir comandos para iniciar un ataque de denegación de servicio distribuido (). DDoS

nota

Si el nombre de dominio consultado está relacionado con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

nota

Para comprobar cómo se GuardDuty genera este tipo de hallazgo, puedes realizar una DNS solicitud desde tu instancia (digpara Linux o nslookup Windows) contra un dominio de prueba. guarddutyc2activityb.com

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/BlackholeTraffic!DNS

Una EC2 instancia de Amazon o un contenedor está consultando un nombre de dominio que se está redirigiendo a una dirección IP de agujero negro.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia listada o el contenedor de su AWS entorno podrían estar comprometidos porque están consultando un nombre de dominio que se está redirigiendo a una dirección IP de agujero negro. Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DropPoint!DNS

Una EC2 instancia de Amazon o un contenedor están consultando el nombre de dominio de un host remoto que se sabe que contiene credenciales y otros datos robados capturados por el malware.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que una EC2 instancia o un contenedor de su AWS entorno está consultando el nombre de dominio de un host remoto del que se sabe que contiene credenciales y otros datos robados capturados por el malware.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DGADomainRequest.C!DNS

Una EC2 instancia de Amazon o un contenedor están consultando dominios generados algorítmicamente. El malware suele utilizar estos dominios y podrían indicar que se trata de una EC2 instancia o un contenedor comprometidos.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia de la lista o el contenedor de su AWS entorno están intentando consultar los dominios del algoritmo de generación de dominios. DGA Es posible que su recurso se haya visto afectado.

DGAsse utilizan para generar periódicamente una gran cantidad de nombres de dominio que se pueden utilizar como puntos de encuentro con sus servidores de comando y control (C&C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

nota

Esta conclusión se basa en DGA dominios conocidos procedentes de fuentes de inteligencia sobre amenazas. GuardDuty

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DriveBySourceTraffic!DNS

Una EC2 instancia de Amazon o un contenedor está consultando el nombre de dominio de un host remoto que es una fuente conocida de ataques de descarga automática.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia que aparece en la lista o el contenedor de su AWS entorno podrían estar en peligro porque están consultando el nombre de dominio de un host remoto que es una fuente conocida de ataques de descargas clandestinas. Se trata de descargas no deseadas de software informático desde Internet que pueden iniciar la instalación automática de un virus, spyware o malware.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/PhishingDomainRequest!DNS

Una EC2 instancia de Amazon o un contenedor están consultando dominios involucrados en ataques de suplantación de identidad.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que hay una EC2 instancia o un contenedor en su AWS entorno que intenta consultar un dominio implicado en ataques de suplantación de identidad. Los dominios de suplantación de identidad los configura alguien que se presenta como una institución legítima para inducir a las personas a proporcionar información confidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas. Es posible que tu EC2 instancia o el contenedor estén intentando recuperar datos confidenciales almacenados en un sitio web de suplantación de identidad o que estén intentando configurar un sitio web de suplantación de identidad. Es posible que tu EC2 instancia o el contenedor estén comprometidos.

El agente GuardDuty de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/AbusedDomainRequest.Reputation

Una EC2 instancia de Amazon o un contenedor está consultando un nombre de dominio de baja reputación que está asociado a dominios de uso abusivo conocidos.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia que aparece en la lista o el contenedor de su AWS entorno está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP de los que se sabe que se ha utilizado indebidamente. Algunos ejemplos de dominios utilizados indebidamente son los nombres de dominio de nivel superior (TLDs) y los nombres de dominio de segundo nivel (2LDs), que ofrecen registros de subdominios gratuitos, así como proveedores dinámicos. DNS Los actores de amenazas suelen utilizar estos servicios para registrar dominios de forma gratuita o a un bajo costo. Los dominios de baja reputación de esta categoría también pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento de un registrador y, por lo tanto, es posible que ya no estén activos. Una IP de estacionamiento es el lugar al que un registrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La EC2 instancia de Amazon que aparece en la lista o el contenedor pueden estar comprometidos, ya que los actores de amenazas suelen utilizar estos registradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/BitcoinDomainRequest.Reputation

Una EC2 instancia de Amazon o un contenedor está consultando un nombre de dominio de baja reputación que está asociado a una actividad relacionada con las criptomonedas.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que la EC2 instancia listada o el contenedor de su AWS entorno están consultando un nombre de dominio de baja reputación asociado a Bitcoin u otra actividad relacionada con las criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si usa esta EC2 instancia o el contenedor para extraer o administrar criptomonedas, o si estos recursos están involucrados de alguna otra manera en la actividad de la cadena de bloques, este hallazgo podría representar la actividad esperada para su entorno. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de Impact:Runtime/BitcoinDomainRequest.Reputation. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/MaliciousDomainRequest.Reputation

Una EC2 instancia de Amazon o un contenedor están consultando un dominio de baja reputación que está asociado a dominios maliciosos conocidos.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia listada o el contenedor de su AWS entorno están consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP maliciosos conocidos. Por ejemplo, los dominios pueden estar asociados a una dirección IP conocida como oculta. Los dominios ocultos son aquellos que anteriormente estaban controlados por un agente de amenazas y las solicitudes que se les hagan pueden indicar que la instancia se ha visto afectada. Estos dominios también pueden estar correlacionados con campañas o algoritmos de generación de dominios maliciosos conocidos.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Una EC2 instancia de Amazon o un contenedor está consultando un nombre de dominio de baja reputación que es de naturaleza sospechosa debido a su antigüedad o poca popularidad.

Gravedad predeterminada: baja

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la EC2 instancia que aparece en la lista o el contenedor de su AWS entorno está consultando un nombre de dominio de baja reputación que se sospecha que es malicioso. Las características observadas de este dominio coincidían con las de los dominios maliciosos observados anteriormente. Sin embargo, nuestro modelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general, estos dominios se han detectado recientemente o reciben poco tráfico.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Una EC2 instancia o un contenedor de Amazon realiza DNS búsquedas que se resuelven en el servicio de metadatos de la instancia.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

nota

Actualmente, este tipo de búsqueda solo es compatible con la arquitectura. AMD64

Este hallazgo indica que una EC2 instancia o un contenedor de su AWS entorno está consultando un dominio que se resuelve en la dirección IP de los EC2 metadatos (169.254.169.254). Una DNS consulta de este tipo puede indicar que la instancia es el objetivo de una técnica de reencuadernación. DNS Esta técnica se puede utilizar para obtener metadatos de una EC2 instancia, incluidas las IAM credenciales asociadas a la instancia.

DNSLa revinculación implica engañar a una aplicación que se está ejecutando en la EC2 instancia para que cargue los datos devueltos desde aURL, donde el nombre de dominio que aparece en la URL dirección IP de EC2 los metadatos ()169.254.169.254. Esto hace que la aplicación acceda a EC2 los metadatos y, posiblemente, los ponga a disposición del atacante.

Solo es posible acceder a EC2 los metadatos mediante la DNS revinculación si la EC2 instancia ejecuta una aplicación vulnerable que permite la inyección o si alguien accede a ellos URL en un navegador web que se ejecute en la EC2 instancia. URLs

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

En respuesta a este hallazgo, debes evaluar si hay una aplicación vulnerable ejecutándose en la EC2 instancia o en el contenedor, o si alguien usó un navegador para acceder al dominio identificado en el hallazgo. Si la causa raíz es una aplicación vulnerable, corrija la vulnerabilidad. Si un usuario ha navegado por el dominio identificado, bloquee el dominio o impida que los usuarios puedan acceder a él. Si determinas que este hallazgo está relacionado con alguno de los casos anteriores, revoca la sesión asociada a la EC2 instancia.

Algunos AWS clientes asignan intencionadamente la dirección IP de los metadatos a un nombre de dominio de sus servidores autorizadosDNS. Si este es el caso en su entorno de , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:Runtime/MetaDataDNSRebind. El segundo criterio de filtrado debe ser el dominio de la DNS solicitud o el ID de imagen del contenedor. El valor del dominio de la DNS solicitud debe coincidir con el dominio que ha asignado a la dirección IP de los metadatos (169.254.169.254). Para obtener información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/NewBinaryExecuted

Se ha ejecutado un archivo binario recién creado o que se ha modificado recientemente en un contenedor.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado informa de que se ha ejecutado un archivo binario recién creado o modificado en un contenedor. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. Este comportamiento indica que un actor malicioso que ha obtenido acceso al contenedor ha descargado y ejecutado malware u otro software como parte del comprometimiento potencial. Aunque este tipo de actividad podría ser un indicio de un comprometimiento, también se trata de un patrón de uso habitual. Por lo tanto, GuardDuty utiliza mecanismos para identificar los casos sospechosos de esta actividad y genera este tipo de hallazgo solo para los casos sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola. Para identificar el proceso de modificación y el nuevo binario, consulte los detalles del Proceso de modificación y los detalles del Proceso

Los detalles del proceso de modificación se incluyen en el service.runtimeDetails.context.modifyingProcess campo de la búsqueda JSON o en el apartado Proceso de modificación del panel de detalles de la búsqueda. Para este tipo de búsqueda, el proceso de modificación es/usr/bin/dpkg, tal como lo identifica el service.runtimeDetails.context.modifyingProcess.executablePath campo de la búsquedaJSON, o forma parte del proceso de modificación en el panel de detalles de la búsqueda.

Los detalles del binario nuevo o modificado ejecutado se incluyen en la sección service.runtimeDetails.process del hallazgo o en la sección Proceso JSON, en la sección Detalles del tiempo de ejecución. Para este tipo de resultado, el binario nuevo o modificado es /usr/bin/python3.8, como se indica en el campo service.runtimeDetails.process.executablePath (Ruta ejecutable).

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un proceso dentro de un contenedor se comunica con el daemon de Docker mediante un socket de Docker.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

El socket de Docker es un socket de dominio Unix que el daemon de Docker (dockerd) utiliza para comunicarse con sus clientes. Un cliente puede llevar a cabo diversas acciones, como crear contenedores al comunicarse con el daemon de Docker a través del socket de Docker. Es sospechoso que un proceso de contenedor acceda al socket de Docker. Un proceso contenedor puede escapar del contenedor y obtener acceso a nivel de host comunicándose con el socket de Docker y creando un contenedor privilegiado.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/RuncContainerEscape

Se detectó un intento de escape del contenedor a través de runC.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

RunC es el tiempo de ejecución de contenedores de bajo nivel que los tiempos de ejecución de contenedores de alto nivel, como Docker y Containerd utilizan para generar y ejecutar contenedores. RunC siempre se ejecuta con privilegios de raíz porque necesita realizar la tarea de bajo nivel de crear un contenedor. Un actor que represente una amenaza puede obtener acceso a nivel de host ya sea al modificar o explotar una vulnerabilidad en el binario de runC.

Este resultado detecta la modificación del binario de runC y posibles intentos de explotar las siguientes vulnerabilidades de runC:

  • CVE-2019-5736— Explotación de CVE-2019-5736 implica sobrescribir el binario RunC desde dentro de un contenedor. Este resultado se invoca cuando un proceso dentro de un contenedor modifica el binario de runC.

  • CVE-2024-21626— Explotación de CVE-2024-21626 implica configurar el directorio de trabajo actual (CWD) o un contenedor en un descriptor /proc/self/fd/FileDescriptor de archivo abierto. Este resultado se invoca cuando se detecta un proceso de contenedor con un directorio de trabajo actual bajo /proc/self/fd/, por ejemplo, /proc/self/fd/7.

Este resultado puede indicar que un actor malicioso ha intentado realizar una explotación en uno de los siguientes tipos de contenedores:

  • Un contenedor nuevo con una imagen controlada por un atacante.

  • Un contenedor existente al que el actor tenía acceso con permisos de escritura en el binario de runC a nivel de host.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Se detectó un intento de escape del contenedor a través CGroups de un agente desmoldante.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que se ha detectado un intento de modificar el archivo de agente de lanzamiento de un grupo de control (cgroup). Linux utiliza grupos de control (cgroups) para limitar, contabilizar y aislar el uso de recursos de un conjunto de procesos. Cada cgroup tiene un archivo de agente de lanzamiento (release_agent), un script que Linux ejecuta cuando termina cualquier proceso dentro del cgroup. El archivo de agente de lanzamiento debe ejecutarse siempre en el host. Un actor de amenazas dentro de un contenedor puede escapar al host mediante la escritura de comandos arbitrarios en el archivo de agente de lanzamiento que pertenece a un cgroup. Cuando termina un proceso dentro de ese cgroup, se ejecutan los comandos escritos por el actor.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.Proc

Se detectó una inyección de proceso mediante el sistema de archivos proc en un contenedor o en una instancia de Amazon. EC2

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. El sistema de archivos proc (procfs) es un sistema de archivos especial de Linux que presenta la memoria virtual del proceso como un archivo. La ruta de ese archivo es /proc/PID/mem, donde PID es el ID único del proceso. Un actor de amenazas puede escribir en este archivo para inyectar código en el proceso. Este resultado identifica los posibles intentos de escritura en este archivo.

El agente GuardDuty de ejecución monitorea los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Se detectó una inyección de proceso mediante una llamada al sistema ptrace en un contenedor o en una EC2 instancia de Amazon.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar la llamada al sistema ptrace para inyectar código en otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema ptrace.

El agente GuardDuty de ejecución monitorea los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Se detectó una inyección de proceso mediante una escritura directa en la memoria virtual en un contenedor o una EC2 instancia de Amazon.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar una llamada al sistema como process_vm_writev para inyectar código directamente en la memoria virtual de otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema para escribir en la memoria virtual del proceso.

El agente GuardDuty de ejecución monitorea los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/ReverseShell

Un proceso en un contenedor o en una EC2 instancia de Amazon ha creado un shell inverso.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Un intérprete de comandos inverso es una sesión de intérprete de comandos que se crea en una conexión que se ha iniciado del host de destino al host del actor. Esto es lo opuesto a un intérprete de comandos normal que se inicia desde el host del actor hasta el host de destino. Los actores de amenazas crean un intérprete de comandos inverso para ejecutar comandos en el objetivo tras obtener el acceso inicial a este. Este resultado identifica un posible intento de crear un intérprete de comandos inverso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado.

DefenseEvasion:Runtime/FilelessExecution

Un proceso de un contenedor o una EC2 instancia de Amazon ejecuta código desde la memoria.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa cuando se ejecuta un proceso mediante un archivo ejecutable en memoria en el disco. Se trata de una técnica de evasión de defensa habitual que impide escribir el ejecutable malicioso en el disco para evitar la detección basada en el análisis del sistema de archivos. Si bien el malware utiliza esta técnica, también tiene algunos casos de uso legítimos. Uno de los ejemplos es un compilador just-in-time (JIT) que escribe código compilado en la memoria y lo ejecuta desde la memoria.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/CryptoMinerExecuted

Un contenedor o una EC2 instancia de Amazon está ejecutando un archivo binario asociado a una actividad de minería de criptomonedas.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que un contenedor o una EC2 instancia de su AWS entorno está ejecutando un archivo binario asociado a una actividad de minería de criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola y consulteCorregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/NewLibraryLoaded

Un proceso ha cargado una biblioteca recién creada o modificada recientemente dentro de un contenedor.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que se ha creado una biblioteca o que esta se ha modificado dentro de un contenedor durante el tiempo de ejecución y que un proceso que se ejecuta dentro del contenedor la ha cargado. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. La carga de una biblioteca recién creada o modificada en un contenedor puede indicar actividad sospechosa. Este comportamiento indica la posibilidad de que un actor malicioso haya accedido al contenedor, haya descargado y ejecutado malware u otro software como parte de una posible amenaza. Aunque este tipo de actividad podría ser un indicio de un comprometimiento, también se trata de un patrón de uso habitual. Por lo tanto, GuardDuty utiliza mecanismos para identificar los casos sospechosos de esta actividad y genera este tipo de hallazgo solo para los casos sospechosos.

El agente GuardDuty de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un proceso dentro de un contenedor ha montado un sistema de archivos de host durante el tiempo de ejecución.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Varias técnicas de escape de contenedores implican montar un sistema de archivos de host dentro de un contenedor durante el tiempo de ejecución. Este resultado indica que un proceso dentro de un contenedor podría intentar montar un sistema de archivos de host, lo que podría indicar un intento de escape al host.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un proceso ha utilizado llamadas al sistema userfaultfd para gestionar los errores de página en el espacio de usuario.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Por lo general, los errores de página los gestiona el kernel en el espacio del kernel. Sin embargo, la llamada al sistema userfaultfd permite que un proceso gestione los errores de página en un sistema de archivos del espacio de usuario. Esta es una característica útil que permite la implementación de sistemas de archivos en el espacio de usuario. Por otro lado, también puede ser utilizada por un proceso potencialmente malicioso para interrumpir el funcionamiento del kernel desde el espacio de usuario. Interrumpir el kernel mediante una llamada al sistema userfaultfd es una técnica de explotación común para ampliar los intervalos de carrera cuando se explotan las condiciones de carrera del kernel. El uso de userfaultfd puede indicar una actividad sospechosa en la instancia de Amazon Elastic Compute Cloud (AmazonEC2).

El agente GuardDuty de tiempo de ejecución monitorea los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousTool

Un contenedor o una EC2 instancia de Amazon ejecuta un archivo binario o un script que se usa con frecuencia en escenarios de seguridad ofensivos, como la participación de pentests.

Gravedad predeterminada: variable

La gravedad de este resultado puede ser alta o baja, según si la herramienta sospechosa detectada se considera de doble uso o es de uso exclusivamente ofensivo.

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado una herramienta sospechosa en una EC2 instancia o contenedor de su AWS entorno. Esto incluye las herramientas utilizadas en las actividades de pruebas de penetración, también conocidas como herramientas de puerta trasera, analizadores de red y rastreadores de red. Todas estas herramientas se pueden utilizar en contextos benignos, pero también las utilizan con frecuencia los actores de amenazas con intenciones maliciosas. Observar las herramientas de seguridad ofensivas podría indicar que la EC2 instancia o el contenedor asociados se han visto comprometidos.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor que indica que está en peligro.

Gravedad predeterminada: variable

Según el impacto del patrón malicioso observado, la gravedad de este tipo de resultado podría ser baja, media o alta.

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un comando sospechoso e indica que una EC2 instancia de Amazon o un contenedor de su AWS entorno se han visto comprometidos. Esto puede significar que se ha descargado un archivo de una fuente sospechosa y luego se ha ejecutado, o que un proceso en ejecución muestra un patrón malicioso conocido en su línea de comandos. Esto indica además la presencia de malware en ejecución en el sistema.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/SuspiciousCommand

Se ha ejecutado un comando en la EC2 instancia o contenedor de Amazon que aparece en la lista e intenta modificar o deshabilitar un mecanismo de defensa de Linux, como un firewall o los servicios esenciales del sistema.

Gravedad predeterminada: variable

Según el mecanismo de defensa que se haya modificado o desactivado, la gravedad de este tipo de resultado puede ser alta, media o baja.

  • Característica: supervisión en tiempo de ejecución

Este resultado informa de que se ha ejecutado un comando que intenta ocultar un ataque a los servicios de seguridad del sistema local. Esto incluye acciones como deshabilitar el firewall de Unix, modificar las tablas de IP locales o eliminar crontab entradas, deshabilitar un servicio local o hacerse cargo de la función. LDPreload Cualquier modificación es altamente sospechosa y un indicador potencial de comprometimiento. Por lo tanto, estos mecanismos detectan que el sistema está comprometido o impiden que se comprometa aún más.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución, de modo que genera este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un proceso de un contenedor o una EC2 instancia de Amazon ha ejecutado una medida antidepuración mediante la llamada al sistema ptrace.

Gravedad predeterminada: baja

  • Característica: supervisión en tiempo de ejecución

Este hallazgo muestra que un proceso que se ejecuta en una EC2 instancia de Amazon o en un contenedor de su AWS entorno ha utilizado la llamada al sistema ptrace con la PTRACE_TRACEME opción. Esta actividad provocaría que un depurador asociado se separara del proceso en ejecución. Si no hay ningún depurador asociado, no se producirá ningún efecto. Sin embargo, la actividad en sí misma suscita sospechas. Esto podría ser indicio de la presencia de malware en ejecución en el sistema. El malware utiliza con frecuencia técnicas antidepuración para eludir los análisis, y estas técnicas se pueden detectar en tiempo de ejecución.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/MaliciousFileExecuted

Se ha ejecutado un archivo ejecutable malicioso conocido en una EC2 instancia o un contenedor de Amazon.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un ejecutable malicioso conocido en una EC2 instancia de Amazon o en un contenedor de su AWS entorno. Se trata de un sólido indicio de que la instancia o el contenedor se han visto potencialmente comprometidos y de que se ha ejecutado malware.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente GuardDuty de ejecución supervisa los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousShellCreated

Un servicio de red o un proceso accesible desde la red en una EC2 instancia de Amazon o en un contenedor ha iniciado un proceso de shell interactivo.

Gravedad predeterminada: baja

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que un servicio accesible a la red en una EC2 instancia de Amazon o en un contenedor de su AWS entorno ha lanzado un shell interactivo. En determinadas circunstancias, este escenario podría ser indicio de un comportamiento posterior a la explotación. Los intérpretes de comandos interactivos permiten a los atacantes ejecutar comandos arbitrarios en una instancia o contenedor comprometidos.

El agente GuardDuty de ejecución monitorea los eventos de varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola. Puede ver la información del proceso al que se puede acceder a través de la red en los detalles del proceso principal.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/ElevationToRoot

Un proceso que se ejecuta en la EC2 instancia o el contenedor de Amazon de la lista ha asumido privilegios de root.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que un proceso que se ejecuta en la lista de Amazon EC2 o en el contenedor listado de su AWS entorno ha asumido privilegios de root mediante una ejecución setuid binaria inusual o sospechosa. Esto indica que un proceso en ejecución se ha visto potencialmente comprometido, por EC2 ejemplo, a causa de una vulnerabilidad o de una setuid explotación. Al utilizar los privilegios de raíz, el atacante puede potencialmente ejecutar comandos en la instancia o el contenedor.

Si bien GuardDuty está diseñado para no generar este tipo de hallazgo para actividades que impliquen el uso regular del sudo comando, generará este hallazgo cuando identifique la actividad como inusual o sospechosa.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución y genera este tipo de hallazgo solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

El agente GuardDuty de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Discovery:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor, lo que permite al atacante obtener información sobre el sistema local, la AWS infraestructura circundante o la infraestructura del contenedor.

Gravedad predeterminada: baja

Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que la EC2 instancia o contenedor de Amazon que aparece en su AWS entorno ha ejecutado un comando que podría proporcionar al atacante información crucial para impulsar el ataque. Es posible que se haya recuperado la siguiente información:

  • Sistema local, como la configuración del usuario o de la red,

  • Otros AWS recursos y permisos disponibles, o

  • Infraestructura de Kubernetes, como servicios y pods.

Es posible que la EC2 instancia de Amazon o el contenedor que aparece en los detalles del hallazgo estén comprometidos.

El agente GuardDuty de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en los detalles de los resultados de la GuardDuty consola. Encontrará los detalles sobre el comando sospechoso en el service.runtimeDetails.context campo del hallazgoJSON.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Persistence:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor, lo que permite a un atacante mantener el acceso y el control en su AWS entorno.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor de su AWS entorno. El comando instala un método de persistencia que permite al malware ejecutarse ininterrumpidamente, o permite a un atacante acceder continuamente al tipo de recurso de instancia o contenedor potencialmente comprometido. Esto podría significar que se ha instalado o modificado un servicio del sistema, se ha modificado el crontab o se ha añadido un nuevo usuario a la configuración del sistema.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados, y genera este tipo de hallazgo solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

Es posible que la EC2 instancia de Amazon o el contenedor que aparece en los detalles del hallazgo estén comprometidos.

El agente GuardDuty de ejecución monitorea los eventos desde varios recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en los detalles de los resultados de la GuardDuty consola. Encontrará los detalles sobre el comando sospechoso en el service.runtimeDetails.context campo del hallazgoJSON.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor, lo que permite a un atacante escalar los privilegios.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un comando sospechoso en una EC2 instancia de Amazon o en un contenedor de su AWS entorno. El comando intenta realizar una escalada de privilegios, lo que permite a un adversario realizar tareas de alto privilegio.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados, y genera este tipo de hallazgo solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

Es posible que la EC2 instancia de Amazon o el contenedor que aparece en los detalles del hallazgo estén comprometidos.

El agente GuardDuty de ejecución monitorea los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.