Tipos de búsqueda de Runtime Monitoring - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecuted

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de búsqueda de Runtime Monitoring

Amazon GuardDuty genera los siguientes resultados de Runtime Monitoring para indicar posibles amenazas en función del comportamiento a nivel del sistema operativo de los hosts y contenedores de Amazon EC2 en sus clústeres de Amazon EKS, las cargas de trabajo de Fargate y Amazon ECS y las instancias de Amazon EC2.

nota

Los tipos de resultados de la Supervisión en tiempo de ejecución se obtienen según los registros de tiempo de ejecución recopilados de los hosts. Los registros contienen campos, como las rutas de los archivos, que puede controlar un agente malicioso. Estos campos también se incluyen en los resultados para proporcionar un contexto de tiempo de ejecución GuardDuty . Al procesar los resultados de Runtime Monitoring fuera de la GuardDuty consola, debe desinfectar los campos de búsqueda. Por ejemplo, puede codificar en HTML los campos de resultado cuando los muestre en una página web.

CryptoCurrency:Runtime/BitcoinTool.B

Una instancia o un contenedor de Amazon EC2 está consultando una dirección IP asociada con una actividad relacionada con una criptomoneda.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está consultando una dirección IP que está asociada con una actividad relacionada con criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si utiliza esta instancia o un contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado CryptoCurrency:Runtime/BitcoinTool.B podría representar la actividad esperada para su entorno. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Una instancia o un contenedor de Amazon EC2 está consultando una IP que está asociada a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista dentro del entorno de AWS está consultando una IP asociada con un servidor de comando y control (C&C) conocido. La instancia o el contenedor que aparecen en la lista podrían estar potencialmente afectados. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y la estructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque de denegación de servicio distribuido (DDoS).

nota

Si la IP consultada está relacionada con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

La instancia o contenedor de Amazon EC2 está estableciendo conexiones a una red de Tor como relé de Tor.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que una instancia EC2 o un contenedor de tu AWS entorno se conecta a una red Tor de una manera que sugiere que actúa como un repetidor de Tor. Tor es un software que permite las comunicaciones anónimas. Tor incrementa el anonimato en la comunicación, ya que reenvía el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

La instancia o el contenedor de Amazon EC2 está estableciendo conexiones con un nodo Authority o Guard de Tor.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que una instancia de EC2 o un contenedor de su AWS entorno se está conectando a un nodo de Tor Guard o de Authority. Tor es un software que permite las comunicaciones anónimas. Los guardias Tor y los nodos Authority actúan como gateways a una red Tor. Este tráfico puede indicar que esta instancia o el contenedor de EC2 se han visto afectados y están actuando como clientes en una red de Tor. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Una instancia o un contenedor de Amazon EC2 intenta comunicarse con una dirección IP de un host remoto que es un agujero negro conocido.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que la instancia de EC2 que aparece en la lista o un contenedor de su AWS entorno podrían estar comprometidos porque están intentando comunicarse con la dirección IP de un agujero negro (o sumidero). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/DropPoint

Una instancia o un contenedor de Amazon EC2 está intentando comunicarse con una dirección IP de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que una instancia EC2 o un contenedor de su AWS entorno está intentando comunicarse con una dirección IP de un host remoto del que se sabe que guarda credenciales y otros datos robados capturados por software malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de información de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio asociado con una actividad de criptomoneda.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está consultando un nombre de dominio que está asociado con actividades relacionadas con Bitcoin u otras criptomonedas. Los actores de las amenazas pueden intentar tomar el control de los recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si utiliza esta instancia o contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado CryptoCurrency:Runtime/BitcoinTool.B!DNS podría representar la actividad esperada para su entorno. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtrado. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad de criptomonedas o cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio que está asociado a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio asociado con un servidor de comando y control (C&C) conocido. La instancia o el contenedor de EC2 de la lista podrían haberse visto afectados. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y la estructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque de denegación de servicio distribuido (DDoS).

nota

Si el nombre de dominio consultado está relacionado con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

nota

Para comprobar cómo se GuardDuty genera este tipo de hallazgo, puedes realizar una solicitud de DNS desde tu instancia (si se usa dig para Linux o nslookup Windows) y compararla con un dominio de pruebaguarddutyc2activityb.com.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio que se está redireccionando a una dirección IP de agujero negro.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectado, ya que está consultando un nombre de dominio que se está redireccionando a una dirección IP de agujero negro. Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de un host remoto que se conoce que conservar credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le indica que una instancia de EC2 o un contenedor de su AWS entorno está consultando el nombre de dominio de un host remoto del que se sabe que contiene credenciales y otros datos robados capturados por software malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de información de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Una instancia o un contenedor de Amazon EC2 está consultando dominios generados mediante algoritmo. El malware suele utilizar dichos dominios y podría indicar que una instancia o un contenedor de EC2 se han visto afectados.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está intentando consultar dominios de algoritmos de generación de dominios (DGA). Es posible que su recurso se haya visto afectado.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominio que se pueden usar como puntos de encuentro con sus servidores de comando y control (C & C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

nota

Este hallazgo se basa en dominios de DGA conocidos procedentes de fuentes de inteligencia sobre GuardDuty amenazas.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de un host remoto que es una fuente conocida de ataques de descarga Drive-By.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectada, ya que está consultando un nombre de dominio de un host remoto que es un origen conocido de ataques de descargas Drive-By. Se trata de descargas no deseadas de software informático desde Internet que pueden iniciar la instalación automática de un virus, spyware o malware.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Una instancia o un contenedor de Amazon EC2 está consultando dominios implicados en ataques de suplantación de identidad.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que hay una instancia o un contenedor de EC2 en el entorno de AWS que está intentando consultar un dominio implicado en ataques de suplantación de identidad. Los dominios de suplantación de identidad los configura alguien que se presenta como una institución legítima para inducir a las personas a proporcionar información confidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas. Es posible que su instancia o contenedor de EC2 esté intentando recuperar datos confidenciales almacenados en un sitio web de suplantación de identidad o que esté intentando configurar un sitio web de este tipo. Su instancia o contenedor de EC2 podrían haberse visto afectados.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a dominios que se sabe que se han utilizado indebidamente.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP de los que se sabe que se ha utilizado indebidamente. Algunos ejemplos de dominios utilizados indebidamente son los nombres de dominio de nivel superior (TLD) y los nombres de dominio de segundo nivel (2LD), que proporcionan registros de subdominios gratuitos, así como proveedores de DNS dinámicos. Los actores de amenazas suelen utilizar estos servicios para registrar dominios de forma gratuita o a un bajo costo. Los dominios de baja reputación de esta categoría también pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento de un registrador y, por lo tanto, es posible que ya no estén activos. Una IP de estacionamiento es el lugar al que un registrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La instancia o el contenedor de Amazon EC2 que aparece en la lista pueden haberse visto afectados, ya que los actores de amenazas suelen utilizar estos registradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a la actividad relacionada con la criptomoneda.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio que está asociado a actividades relacionadas con Bitcoin u otras criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si utiliza esta instancia o el contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado podría representar la actividad esperada para su entorno. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de Impact:Runtime/BitcoinDomainRequest.Reputation. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a dominios maliciosos conocidos.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP maliciosos conocidos. Por ejemplo, los dominios pueden estar asociados a una dirección IP conocida como oculta. Los dominios ocultos son aquellos que anteriormente estaban controlados por un agente de amenazas y las solicitudes que se les hagan pueden indicar que la instancia se ha visto afectada. Estos dominios también pueden estar correlacionados con campañas o algoritmos de generación de dominios maliciosos conocidos.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que resulta sospechoso por naturaleza debido a su antigüedad o a su baja popularidad.

Gravedad predeterminada: baja

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación que se sospecha que es malicioso. Se observaron características de este dominio que eran coherentes con las de dominios maliciosos observados anteriormente; sin embargo, nuestro modelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general, estos dominios se han detectado recientemente o reciben poco tráfico.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Una instancia o un contenedor de Amazon EC2 hace búsquedas de DNS que se resuelven en el servicio de metadatos de instancia.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

nota

Actualmente, este tipo de búsqueda solo es compatible con la arquitectura AMD64.

Este hallazgo indica que una instancia de EC2 o un contenedor de su AWS entorno está consultando un dominio que se resuelve en la dirección IP de los metadatos de EC2 (169.254.169.254). Una consulta de DNS de este tipo puede indicar que la instancia es el objetivo de una técnica de reenlace de DNS. Esta técnica se puede utilizar para obtener metadatos de una instancia de EC2, que incluye las credenciales de IAM asociadas a la instancia.

El reenlace de DNS implica engañar a una aplicación que se ejecuta en la instancia de EC2 para que cargue datos devueltos desde una URL, de tal forma que el nombre de dominio de la URL se resuelve en la dirección IP de metadatos de EC2 (169.254.169.254). Esto hace que la aplicación obtenga acceso a los metadatos de EC2 y, posiblemente, los ponga a disposición del atacante.

Solo se puede obtener acceso a los metadatos de EC2 mediante el reenlace de DNS si la instancia de EC2 ejecuta una aplicación vulnerable que permite la inserción de URL o si un usuario obtiene acceso a la URL en un navegador web que se ejecuta en la instancia de EC2.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de resultados de la consola. GuardDuty

Recomendaciones de corrección:

En respuesta a este resultado, es importante evaluar si hay alguna aplicación vulnerable que se esté ejecutando en la instancia o en el contenedor de EC2 o si un usuario ha utilizado un navegador para acceder al dominio identificado en el resultado. Si la causa raíz es una aplicación vulnerable, corrija la vulnerabilidad. Si un usuario ha navegado por el dominio identificado, bloquee el dominio o impida que los usuarios puedan acceder a él. Si determina que el resultado está relacionado con cualquiera de los casos anteriores, debe revocar la sesión asociada a la instancia de EC2.

Algunos AWS clientes asignan intencionadamente la dirección IP de los metadatos a un nombre de dominio de sus servidores DNS autorizados. Si este es el caso en su entorno de , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:Runtime/MetaDataDNSRebind. El segundo criterio de filtro debe ser el Dominio de la solicitud de DNS o el ID de imagen de contenedor del contenedor. El valor Dominio de la solicitud DNS debe coincidir con el dominio que ha asignado a la dirección IP de metadatos (169.254.169.254). Para obtener información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

Se ha ejecutado un archivo binario recién creado o que se ha modificado recientemente en un contenedor.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que se ha ejecutado un archivo binario recién creado o que se ha modificado recientemente en un contenedor. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. Este comportamiento indica que un agente malintencionado ha accedido al contenedor, ha descargado y ejecutado software malicioso u otro tipo de software como parte del posible ataque. Si bien este tipo de actividad podría ser un indicio de una situación comprometida, también se trata de un patrón de uso común. Por lo tanto, GuardDuty utiliza mecanismos para identificar los casos sospechosos de esta actividad y genera este tipo de hallazgos solo para los casos sospechosos.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un proceso dentro de un contenedor se comunica con el daemon de Docker mediante un socket de Docker.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

El socket de Docker es un socket de dominio Unix que el daemon de Docker (dockerd) utiliza para comunicarse con sus clientes. Un cliente puede llevar a cabo diversas acciones, como crear contenedores al comunicarse con el daemon de Docker a través del socket de Docker. Es sospechoso que un proceso de contenedor acceda al socket de Docker. Un proceso de contenedor puede escapar del contenedor y obtener acceso de host al comunicarse con el socket de Docket y crear un contenedor privilegiado.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

Se detectó un intento de escape de un contenedor a través de RunC.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

RunC es el motor de ejecución de contenedores de bajo nivel que utilizan los motores de ejecución de contenedores de alto nivel, como Docker y Containerd, para generar y ejecutar contenedores. RunC siempre se ejecuta con privilegios de root porque necesita realizar la tarea de bajo nivel de crear un contenedor. Un actor de amenazas puede obtener acceso a nivel de host modificando o explotando una vulnerabilidad en el binario de RunC.

Este hallazgo detecta la modificación del binario de RunC y los posibles intentos de aprovechar las siguientes vulnerabilidades de RunC:

  • CVE-2019-5736— Su explotación CVE-2019-5736 implica sobrescribir el binario de RunC desde un contenedor. Este hallazgo se invoca cuando un proceso dentro de un contenedor modifica el binario RunC.

  • CVE-2024-21626— La explotación de CVE-2024-21626 implica configurar el directorio de trabajo actual (CWD) o un contenedor en un descriptor de archivo abierto. /proc/self/fd/FileDescriptor Este hallazgo se invoca cuando se detecta un proceso contenedor con un directorio de trabajo actual en /proc/self/fd/ él, por ejemplo. /proc/self/fd/7

Este hallazgo puede indicar que un agente malintencionado ha intentado explotar uno de los siguientes tipos de contenedores:

  • Un contenedor nuevo con una imagen controlada por un atacante.

  • Un contenedor existente al que podía acceder el actor con permisos de escritura en el binario RunC de nivel de host.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Se detectó un intento de escape de un contenedor a través del agente de liberación de CGroups.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que se ha detectado un intento de modificar el archivo de agente de lanzamiento de un grupo de control (cgroup). Linux utiliza grupos de control (cgroups) para limitar, contabilizar y aislar el uso de recursos de un conjunto de procesos. Cada cgroup tiene un archivo de agente de lanzamiento (release_agent), un script que Linux ejecuta cuando termina cualquier proceso dentro del cgroup. El archivo de agente de lanzamiento debe ejecutarse siempre en el host. Un actor de amenazas dentro de un contenedor puede escapar al host mediante la escritura de comandos arbitrarios en el archivo de agente de lanzamiento que pertenece a un cgroup. Cuando termina un proceso dentro de ese cgroup, se ejecutan los comandos escritos por el actor.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

Se ha detectado una inyección de proceso mediante el sistema de archivos proc en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. El sistema de archivos proc (procfs) es un sistema de archivos especial de Linux que presenta la memoria virtual del proceso como un archivo. La ruta de ese archivo es /proc/PID/mem, donde PID es el ID único del proceso. Un actor de amenazas puede escribir en este archivo para inyectar código en el proceso. Este resultado identifica los posibles intentos de escritura en este archivo.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Se ha detectado una inyección de proceso mediante una llamada al sistema ptrace en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar la llamada al sistema ptrace para inyectar código en otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema ptrace.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Se ha detectado una inyección de proceso mediante una escritura directa en la memoria virtual en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar una llamada al sistema como process_vm_writev para inyectar código directamente en la memoria virtual de otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema para escribir en la memoria virtual del proceso.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/ReverseShell

Un proceso en un contenedor o en una instancia de Amazon EC2 ha creado un intérprete de comandos inverso.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Un intérprete de comandos inverso es una sesión de intérprete de comandos que se crea en una conexión que se ha iniciado del host de destino al host del actor. Esto es lo opuesto a un intérprete de comandos normal que se inicia desde el host del actor hasta el host de destino. Los actores de amenazas crean un intérprete de comandos inverso para ejecutar comandos en el objetivo tras obtener el acceso inicial a este. Este resultado identifica un posible intento de crear un intérprete de comandos inverso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado.

DefenseEvasion:Runtime/FilelessExecution

Un proceso en un contenedor o en una instancia de Amazon EC2 ejecuta código desde la memoria.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa cuando se ejecuta un proceso mediante un archivo ejecutable en memoria en el disco. Se trata de una técnica de evasión de defensa habitual que impide escribir el ejecutable malicioso en el disco para evitar la detección basada en el análisis del sistema de archivos. Si bien el malware utiliza esta técnica, también tiene algunos casos de uso legítimos. Uno de los ejemplos es un compilador just-in-time (JIT) que escribe código compilado en la memoria y lo ejecuta desde la memoria.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en el panel de resultados de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Una instancia o un contenedor de Amazon EC2 ejecuta un archivo binario asociado con una actividad de extracción de criptomonedas.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que un contenedor o una instancia EC2 de su AWS entorno está ejecutando un archivo binario asociado a una actividad de minería de criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución supervisa los eventos de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en el panel de resultados de la GuardDuty consola.

Recomendaciones de corrección:

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola y consulteCómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Un proceso ha cargado una biblioteca recién creada o modificada recientemente dentro de un contenedor.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Este resultado le informa de que se ha creado una biblioteca o que esta se ha modificado dentro de un contenedor durante el tiempo de ejecución y que un proceso que se ejecuta dentro del contenedor la ha cargado. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. La carga de una biblioteca recién creada o modificada en un contenedor puede indicar actividad sospechosa. Este comportamiento indica la posibilidad de que un actor malicioso haya accedido al contenedor, haya descargado y ejecutado malware u otro software como parte de una posible amenaza. Si bien este tipo de actividad podría indicar un compromiso, también es un patrón de uso común. Por lo tanto, GuardDuty utiliza mecanismos para identificar los casos sospechosos de esta actividad y genera este tipo de hallazgos solo para los casos sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un proceso dentro de un contenedor ha montado un sistema de archivos de host durante el tiempo de ejecución.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Varias técnicas de escape de contenedores implican montar un sistema de archivos de host dentro de un contenedor durante el tiempo de ejecución. Este resultado indica que un proceso dentro de un contenedor podría intentar montar un sistema de archivos de host, lo que podría indicar un intento de escape al host.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un proceso ha utilizado llamadas al sistema userfaultfd para gestionar los errores de página en el espacio de usuario.

Gravedad predeterminada: media

  • Característica: supervisión en tiempo de ejecución

Por lo general, los errores de página los gestiona el kernel en el espacio del kernel. Sin embargo, la llamada al sistema userfaultfd permite que un proceso gestione los errores de página en un sistema de archivos del espacio de usuario. Esta es una característica útil que permite la implementación de sistemas de archivos en el espacio de usuario. Por otro lado, también puede ser utilizada por un proceso potencialmente malicioso para interrumpir el funcionamiento del kernel desde el espacio de usuario. Interrumpir el kernel mediante una llamada al sistema userfaultfd es una técnica de explotación común para ampliar los intervalos de carrera cuando se explotan las condiciones de carrera del kernel. El uso de userfaultfd puede indicar una actividad sospechosa en la instancia de Amazon Elastic Compute Cloud (Amazon EC2).

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulte el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/SuspiciousTool

Un contenedor o una instancia de Amazon EC2 ejecuta un archivo binario o un script que se utiliza con frecuencia en situaciones de seguridad ofensivas, como la participación de pentests.

Gravedad predeterminada: variable

La gravedad de este hallazgo puede ser alta o baja, dependiendo de si la herramienta sospechosa detectada se considera de doble uso o si se trata exclusivamente de un uso ofensivo.

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado una herramienta sospechosa en una instancia o contenedor de EC2 de su AWS entorno. Esto incluye las herramientas utilizadas en las operaciones de pentesting, también conocidas como herramientas de puerta trasera, escáneres de red y rastreadores de redes. Todas estas herramientas se pueden utilizar en contextos benignos, pero también suelen utilizarlas los actores de amenazas con malas intenciones. Observar las herramientas de seguridad ofensivas podría indicar que la instancia o el contenedor de EC2 asociados se han visto comprometidos.

GuardDuty examina la actividad y el contexto del tiempo de ejecución relacionados para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulta el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una instancia de Amazon EC2 o en un contenedor que indica que está en peligro.

Gravedad predeterminada: variable

Según el impacto del patrón malicioso observado, la gravedad de este tipo de hallazgo puede ser baja, media o alta.

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un comando sospechoso e indica que una instancia de Amazon EC2 o un contenedor de su AWS entorno se han visto comprometidos. Esto puede significar que un archivo se descargó de una fuente sospechosa y, a continuación, se ejecutó, o que un proceso en ejecución muestra un patrón malicioso conocido en su línea de comandos. Esto indica además que se está ejecutando malware en el sistema.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución para generar este hallazgo solo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulta el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Se ha ejecutado un comando en la instancia o contenedor de Amazon EC2 que aparece en la lista e intenta modificar o deshabilitar un mecanismo de defensa de Linux, como un firewall o los servicios esenciales del sistema.

Gravedad predeterminada: variable

Según el mecanismo de defensa que se haya modificado o desactivado, la gravedad de este tipo de hallazgo puede ser alta, media o baja.

  • Característica: supervisión en tiempo de ejecución

Este hallazgo indica que se ha ejecutado un comando que intenta ocultar un ataque a los servicios de seguridad del sistema local. Esto incluye acciones como deshabilitar el firewall de Unix, modificar las tablas de IP locales, eliminar crontab entradas, deshabilitar un servicio local o hacerse cargo de la función. LDPreload Cualquier modificación es altamente sospechosa y puede ser indicativa de que se ha producido algún tipo de compromiso. Por lo tanto, estos mecanismos detectan o evitan que el sistema siga comprometiéndose.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución, de modo que solo genera este hallazgo cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso potencialmente comprometido, consulta el tipo de recurso en los detalles de los hallazgos en la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un proceso de un contenedor o de una instancia de Amazon EC2 ha ejecutado una medida antidepuración mediante la llamada al sistema ptrace.

Gravedad predeterminada: baja

  • Característica: supervisión en tiempo de ejecución

Este hallazgo muestra que un proceso que se ejecuta en una instancia de Amazon EC2 o en un contenedor de su AWS entorno ha utilizado la llamada al sistema ptrace con la opción. PTRACE_TRACEME Esta actividad provocaría que un depurador adjunto se separara del proceso en ejecución. Si no hay ningún depurador adjunto, no tiene ningún efecto. Sin embargo, la actividad en sí misma suscita sospechas. Esto podría indicar que se está ejecutando malware en el sistema. El malware utiliza con frecuencia técnicas antidepuración para evadir el análisis, y estas técnicas se pueden detectar en tiempo de ejecución.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución, de modo que solo genera esta información cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulta el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Se ha ejecutado un archivo ejecutable malicioso conocido en una instancia de Amazon EC2 o en un contenedor.

Gravedad predeterminada: alta

  • Característica: supervisión en tiempo de ejecución

Este hallazgo le informa de que se ha ejecutado un ejecutable malicioso conocido en una instancia de Amazon EC2 o en un contenedor de su AWS entorno. Este es un fuerte indicador de que la instancia o el contenedor se han visto potencialmente comprometidos y de que se ha ejecutado malware.

El malware suele utilizar técnicas antidepuración para evadir el análisis, y estas técnicas se pueden detectar en tiempo de ejecución.

GuardDuty examina la actividad y el contexto relacionados con el tiempo de ejecución, de modo que solo genera esta información cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente de tiempo de ejecución supervisa los eventos desde varios recursos. Para identificar el recurso afectado, consulta el tipo de recurso en los detalles de los hallazgos de la GuardDuty consola.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Cómo corregir los hallazgos de Runtime Monitoring.