GuardDuty Tipos de búsqueda de EC2 - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Tipos de búsqueda de EC2

Los siguientes resultados son específicos de los recursos de Amazon EC2 y siempre tendrán un tipo de recurso de Instance. La gravedad y los detalles de los resultados variarán en función del rol de recurso que indicará si la instancia de EC2 fue objeto de actividad sospechosa o el agente que llevó a cabo la actividad.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para más información sobre los orígenes de datos y modelos, consulte Orígenes de datos fundamentales.

nota

Es posible que falten detalles de la instancia de algunos resultados de EC2 si la instancia ya se ha terminado o si la llamada a la API subyacente fue parte de una llamada a la API entre regiones que se ha originado en una instancia de EC2 en una región diferente.

Para todos los resultados de EC2, se recomienda examinar el recurso en cuestión para determinar si se comporta de la manera esperada. Si la actividad está autorizada, puede utilizar reglas de supresión o listas de IP confiables para evitar las notificaciones de falsos positivos para ese recurso. Si la actividad es inesperada, la práctica recomendada de seguridad consiste en asumir que la instancia se ha visto afectada y llevar a cabo las acciones detalladas en Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/C&CActivity.B

Una instancia de EC2 está consultando una IP que está asociada a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que hay una instancia que aparece en la lista dentro del entorno de AWS que está consultando a una IP asociada con un servidor de comando y control (C&C) conocido. La instancia de la lista podría haberse visto afectada. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y la estructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque de denegación de servicio distribuido (DDoS).

nota

Si la IP consultada está relacionada con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • Servicio. Información adicional. threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/C&CActivity.B!DNS

La instancia de EC2 está consultando un nombre de dominio que está asociado a un servidor de comando y control conocido.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia que se muestra en la lista dentro del entorno de AWS que está consultando a un nombre de dominio asociado con un servidor de comando y control (C&C) conocido. La instancia de la lista podría haberse visto afectada. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y la estructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque de denegación de servicio distribuido (DDoS).

nota

Si el nombre de dominio consultado está relacionado con log4j, los campos del resultado asociado incluirán los siguientes valores:

  • Servicio.Información adicional. threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

nota

Para comprobar cómo se GuardDuty genera este tipo de búsqueda, puedes realizar una solicitud de DNS desde tu instancia (digpara Linux o nslookup Windows) y compararla con un dominio de pruebaguarddutyc2activityb.com.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Dns

Una instancia EC2 tiene un comportamiento que puede indicar que se está utilizando para llevar a cabo un ataque de denegación de servicio (DoS) mediante el protocolo DNS.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS está generando un gran volumen de tráfico DNS saliente. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo DNS.

nota

Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Tcp

Una instancia EC2 se comporta de una manera que indica que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo TCP.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS está generando un gran volumen de tráfico TCP saliente. Esto puede indicar que la instancia está comprometida y que se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo TCP.

nota

Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Udp

Una instancia EC2 se comporta de una manera que indica que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo UDP.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS está generando un gran volumen de tráfico UDP saliente. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo UDP.

nota

Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Una instancia EC2 tiene un comportamiento que puede indicar que se está utilizando para llevar a cabo un ataque de denegación de servicio (DoS) mediante el protocolo UDP en un puerto TCP.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS está generando un gran volumen de tráfico UDP saliente cuyo objetivo es un puerto que usualmente se utiliza para la comunicación mediante TCP. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar un ataque denial-of-service (DoS) mediante el protocolo UDP en un puerto TCP.

nota

Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.UnusualProtocol

Una instancia EC2 tiene un comportamiento que puede indicar que se está utilizando para llevar a cabo un ataque de denegación de servicio (DoS) utilizando un protocolo inusual.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS está generando un gran volumen de tráfico saliente mediante un tipo de protocolo inusual que no suelen utilizar las instancias de EC2 (por ejemplo, el protocolo de administración de grupos de Internet). Esto puede indicar que la instancia está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante un protocolo inusual. Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/Spambot

Una instancia de EC2 exhibe un comportamiento inusual al comunicarse con un host remoto en el puerto 25.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista dentro del entorno de AWS se está comunicando con un host remoto en el puerto 25. Este comportamiento es inusual, ya que esta instancia EC2 no tiene un historial previo de comunicaciones en el puerto 25. El puerto 25 lo utilizan tradicionalmente los servidores de correo para las comunicaciones SMTP. Este resultado indica que la instancia EC2 es posible que se vea comprometida para su uso en el envío de spam.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Behavior:EC2/NetworkPortUnusual

Una instancia EC2 se comunica con un host remoto en un puerto de servidor inusual.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS se está comportando de una manera que se desvía de la referencia establecida. Esta instancia EC2 no tiene historial previo de comunicaciones en este puerto remoto.

nota

Si la instancia de EC2 se ha comunicado en los puertos 389 o 1389, la gravedad del resultado asociado se modificará a Alta y los campos del resultado incluirán el siguiente valor:

  • service.additionalInfo.context = Possible log4j callback

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Behavior:EC2/TrafficVolumeUnusual

Una instancia EC2 genera una cantidad inusualmente elevada de tráfico de red a un host remoto.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS se está comportando de una manera que se desvía de la referencia establecida. Esta instancia EC2 no tiene historial previo de envío de esta cantidad de tráfico a este host remoto.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

CryptoCurrency:EC2/BitcoinTool.B

Una instancia EC2 consulta una dirección IP asociada con una actividad relacionada con una criptomoneda.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está consultando una dirección IP que está asociada con actividades relacionadas con Bitcoin u otras criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Recomendaciones de corrección:

Si utiliza esta instancia de EC2 para extraer o administrar criptomonedas, o esta instancia está involucrada de otra manera en la actividad de cadena de bloques, este resultado podría ser la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Una instancia EC2 consulta un nombre de dominio asociado con la actividad relacionada con la criptomoneda.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está consultando un nombre de dominio que está asociado con actividades relacionadas con Bitcoin u otras criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Recomendaciones de corrección:

Si utiliza esta instancia de EC2 para extraer o administrar criptomonedas, o esta instancia está involucrada de otra manera en la actividad de cadena de bloques, este resultado podría ser la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDNSResolver

Una instancia de Amazon EC2 se está comunicando con un solucionador de DNS público inusual.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista del entorno de AWS se está comportando de una manera que se desvía de la referencia establecida. Esta instancia de EC2 no tiene un historial reciente de comunicación con este solucionador de DNS público. El campo Insólito del panel de detalles de búsqueda de la GuardDuty consola puede proporcionar información sobre la resolución de DNS consultada.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDoHActivity

Una instancia de Amazon EC2 se comunica de manera inusual con un DNS a través de HTTPS (DoH).

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS se está comportando de una manera que se desvía de la referencia establecida. Esta instancia de EC2 no tiene ningún historial reciente de comunicaciones de DNS a través de HTTPS (DoH) con este servidor DoH público. El campo Inusual de los detalles de resultado puede proporcionar información sobre el servidor de DoH consultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDoTActivity

Una instancia de Amazon EC2 se está comunicando de manera inusual con un DNS a través de TLS (DoT).

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS se está comportando de una manera que se desvía de la referencia establecida. Esta instancia de EC2 no tiene ningún historial reciente de comunicaciones de DNS a través de TLS (DoT) con este servidor DoT público. El campo Inusual del panel de detalles de resultado puede proporcionar información sobre el servidor DoT consultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/AbusedDomainRequest.Reputation

Una instancia de EC2 consulta un nombre de dominio de baja reputación que está asociado a dominios que se sabe que se han utilizado indebidamente.

Gravedad predeterminada: media

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP de los que se sabe que se han utilizado indebidamente. Algunos ejemplos de dominios utilizados indebidamente son los nombres de dominio de nivel superior (TLD) y los nombres de dominio de segundo nivel (2LD), que proporcionan registros de subdominios gratuitos, así como proveedores de DNS dinámicos. Los actores de amenazas suelen utilizar estos servicios para registrar dominios de forma gratuita o a un bajo costo. Los dominios de baja reputación de esta categoría también pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento de un registrador y, por lo tanto, es posible que ya no estén activos. Una IP de estacionamiento es el lugar al que un registrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La instancia de Amazon EC2 que aparece en la lista puede haberse visto afectada, ya que los actores de amenazas suelen utilizar estos registradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/BitcoinDomainRequest.Reputation

Una instancia de EC2 consulta un nombre de dominio de baja reputación que está asociado a la actividad relacionada con criptomonedas.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio que está asociado con actividades relacionadas con Bitcoin u otras criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si utiliza esta instancia de EC2 para extraer o administrar criptomonedas, o esta instancia está involucrada de otra manera en la actividad de cadena de bloques, este resultado podría representar la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Impact:EC2/BitcoinDomainRequest.Reputation. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/MaliciousDomainRequest.Reputation

Una instancia de EC2 consulta un dominio de baja reputación que está asociado a dominios maliciosos conocidos.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP de los que se sabe que son maliciosos. Por ejemplo, los dominios pueden estar asociados a una dirección IP conocida como oculta. Los dominios ocultos son aquellos que anteriormente estaban controlados por un agente de amenazas y las solicitudes que se les hagan pueden indicar que la instancia se ha visto afectada. Estos dominios también pueden estar correlacionados con campañas o algoritmos de generación de dominios maliciosos conocidos.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/PortSweep

Una instancia de EC2 está sondeando un puerto en un gran número de direcciones IP.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está sondeando un puerto en un gran número de direcciones IP direccionables públicamente. Este tipo de actividad se suele utilizar para encontrar hosts vulnerables y explotarlos. En el panel de detalles de búsqueda de la GuardDuty consola, solo se muestra la dirección IP remota más reciente

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/SuspiciousDomainRequest.Reputation

Una instancia de EC2 consulta un nombre de dominio de baja reputación que resulta sospechoso por naturaleza debido a su antigüedad o a su baja popularidad.

Gravedad predeterminada: baja

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación que se sospecha que es malicioso. Se observaron características de este dominio que eran consistentes con las de dominios maliciosos observados anteriormente; sin embargo, nuestro modelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general, estos dominios se han detectado recientemente o reciben poco tráfico.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/WinRMBruteForce

Una instancia de EC2 está realizando un ataque de fuerza bruta saliente con Windows Remote Management.

Gravedad predeterminada: baja*

nota

La gravedad de este resultado es baja si su instancia de EC2 era el objetivo de un ataque de fuerza bruta. La gravedad de este resultado es alta si su instancia de EC2 es el actor que se utiliza para llevar a cabo el ataque de fuerza bruta.

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que hay una instancia de EC2 en el entorno de AWS que está llevando a cabo un ataque de Windows Remote Management (WinRM) con fuerza bruta con el objetivo de obtener acceso al servicio de Windows Remote Management en sistemas basados en Windows.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Recon:EC2/PortProbeEMRUnprotectedPort

Una instancia de EC2 tiene un puerto relacionado con EMR desprotegido sondeado por un host malicioso conocido.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este hallazgo le informa de que un puerto confidencial relacionado con el EMR de la instancia EC2 de la lista que forma parte de un clúster de su AWS entorno no está bloqueado por un grupo de seguridad, una lista de control de acceso (ACL) o un firewall del host, como IPTables de Linux. Este hallazgo también indica que los escáneres conocidos de Internet están inspeccionando activamente este puerto. Los puertos que pueden desencadenar este resultado, como el puerto 8088 (puerto de IU web de YARN), se pueden utilizar potencialmente para la ejecución de código remoto.

Recomendaciones de corrección:

Debería bloquear el acceso libre a los puertos en los clústeres desde Internet y restringir el acceso solo a direcciones IP específicas que requieren acceso a estos puertos. Para obtener más información, consulte Grupos de seguridad para clústeres de EMR.

Recon:EC2/PortProbeUnprotectedPort

Una instancia EC2 tiene un puerto sin protección que un host malintencionado conocido está sondeando.

Gravedad predeterminada: baja*

nota

La gravedad predeterminada de este resultado es Baja. Sin embargo, si Elasticsearch (9200 o 9300) utiliza el puerto que se está sondeando, la gravedad del hallazgo es alta.

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que un puerto en la instancia de EC2 que aparece en la lista del entorno de AWS no está bloqueado por un grupo de seguridad, una lista de control de acceso (ACL) o un firewall del host (por ejemplo, IPTables) y está siendo sondeado activamente por análisis conocidos en Internet.

Si el puerto desprotegido identificado es 22 o 3389 y utiliza estos puertos para conectarse a su instancia, aún puede limitar la exposición permitiendo el acceso a estos puertos solo a las direcciones IP desde el espacio de direcciones IP de su red corporativa. Para restringir el acceso al puerto 22 en Linux, consulte Autorización del tráfico de entrada para sus instancias de Linux. Para restringir el acceso al puerto 3389 en Windows, consulte Autorización del tráfico de entrada para sus instancias de Windows.

GuardDuty no genera este resultado para los puertos 443 y 80.

Recomendaciones de corrección:

Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Recon:EC2/Portscan

Una instancia EC2 realiza exploraciones de puertos salientes a un host remoto.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está involucrada en un posible ataque de análisis de puertos porque está intentando conectarse a varios puertos en un período corto de tiempo. El objetivo de un ataque de análisis de puertos es localizar puertos abiertos para detectar los servicios que está ejecutando el equipo e identificar su sistema operativo.

Recomendaciones de corrección:

Este resultado puede ser un falso positivo cuando se implementan aplicaciones de evaluación de vulnerabilidades en instancias de EC2 en su entorno, ya que estas aplicaciones analizan los puertos para alertarle sobre puertos abiertos mal configurados. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/BlackholeTraffic

Una instancia EC2 intenta comunicarse con una dirección IP de un host remoto que es un agujero negro conocido.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectada, ya que está intentando comunicarse con una dirección IP de agujero negro (u oculta). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/BlackholeTraffic!DNS

Una instancia EC2 consulta un nombre de dominio que se está redireccionando a una dirección IP de agujero negro.

Gravedad predeterminada: media

  • Origen de datos: registros de DNS

Este resultado le informa de que una instancia de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectada, ya que está consultando un nombre de dominio que se está redireccionando a una dirección IP de agujero negro. Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DGADomainRequest.B

Una instancia EC2 consulta dominios generados mediante algoritmo. El malware suele utilizar dichos dominios y podría indicar una instancia EC2 comprometida.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está intentando hacer consultas en dominios de algoritmos de generación de dominios (DGA). La instancia EC2 podría estar comprometida.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominio que se pueden usar como puntos de encuentro con sus servidores de comando y control (C & C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

nota

Este resultado se basa en el análisis de nombres de dominio mediante heurística avanzada, por lo que podría identificar nuevos dominios de DGA que no están presentes en fuentes de información de amenazas.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DGADomainRequest.C!DNS

Una instancia EC2 consulta dominios generados mediante algoritmo. El malware suele utilizar dichos dominios y podría indicar una instancia EC2 comprometida.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está intentando hacer consultas en dominios de algoritmos de generación de dominios (DGA). La instancia EC2 podría estar comprometida.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominio que se pueden usar como puntos de encuentro con sus servidores de comando y control (C & C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

nota

Este hallazgo se basa en los dominios de DGA conocidos de las fuentes de inteligencia sobre amenazas GuardDuty de las que dispone.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DNSDataExfiltration

Una instancia EC2 sustrae datos a través de consultas de DNS.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de EC2 que aparece en la lista del entorno de AWS está ejecutando malware que utiliza consultas de DNS para transferencias de datos salientes. Este tipo de transferencia de datos indica que se trata de una instancia afectada y podría provocar la exfiltración de datos. Por lo general, el tráfico de DNS no está bloqueado por los firewalls. Por ejemplo, el malware de una instancia EC2 comprometida puede codificar datos (como el número de su tarjeta de crédito) en una consulta de DNS y enviarlos a un servidor DNS remoto controlado por un atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DriveBySourceTraffic!DNS

Una instancia EC2 consulta un nombre de dominio de un host remoto que es una fuente conocida de ataques de descarga Drive-By.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que la instancia de Amazon EC2 que aparece en la lista dentro del entorno de AWS podría haberse visto afectada, ya que está consultando un nombre de dominio de un host remoto que es un origen conocido de ataques de descargas Drive-By. Se trata de descargas no deseadas de software informático desde Internet que pueden desencadenar la instalación automática de un virus, spyware o malware.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DropPoint

Una instancia EC2 está intentando comunicarse con una dirección IP de un host remoto que se sabe que mantiene credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 de su entorno de AWS está intentando comunicarse con una dirección IP de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DropPoint!DNS

Una instancia EC2 está consultando un nombre de dominio de un host remoto que se conoce que mantiene credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

  • Origen de datos: registros de DNS

Este resultado le informa de que una instancia de EC2 de su entorno de AWS está consultando un nombre de dominio de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/PhishingDomainRequest!DNS

Una instancia EC2 consulta dominios implicados en ataques de phishing. La instancia EC2 podría estar comprometida.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que hay una instancia de EC2 en el entorno de AWS que está intentando hacer consultas a un dominio implicado en ataques de suplantación de identidad. Los dominios de suplantación de identidad los configura alguien que se presenta como una institución legítima para inducir a las personas a proporcionar información confidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas. Es posible que su instancia de EC2 esté intentando recuperar datos confidenciales almacenados en un sitio web de suplantación de identidad o que esté intentando configurar un sitio web de este tipo. La instancia EC2 podría estar comprometida.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Una instancia de EC2 establece conexiones con una dirección IP en una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 del entorno de AWS se está comunicando con una dirección IP incluida en una lista de amenazas que ha cargado. En GuardDuty, una lista de amenazas consta de direcciones IP malintencionadas. GuardDuty genera resultados en función de las listas de amenazas cargadas. La lista de amenazas utilizada para generar este resultado se mostrará en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/MetadataDNSRebind

Una instancia de EC2 está haciendo búsquedas de DNS que se resuelven en el servicio de metadatos de la instancia.

Gravedad predeterminada: alta

  • Origen de datos: registros de DNS

Este resultado le informa de que una instancia de EC2 del entorno de AWS está consultando un dominio que se resuelve en la dirección IP de metadatos de EC2 (169.254.169.254). Una consulta de DNS de este tipo puede indicar que la instancia es el objetivo de una técnica de reenlace de DNS. Esta técnica se puede utilizar para obtener metadatos de una instancia de EC2, que incluye las credenciales de IAM asociadas a la instancia.

El reenlace de DNS implica engañar a una aplicación que se ejecuta en la instancia de EC2 para que cargue datos devueltos desde una URL, de tal forma que el nombre de dominio de la URL se resuelve en la dirección IP de metadatos de EC2 (169.254.169.254). Esto hace que la aplicación obtenga acceso a los metadatos de EC2 y, posiblemente, los ponga a disposición del atacante.

Solo se puede obtener acceso a los metadatos de EC2 mediante el reenlace de DNS si la instancia de EC2 ejecuta una aplicación vulnerable que permite la inserción de URL o si un usuario obtiene acceso a la URL en un navegador web que se ejecuta en la instancia de EC2.

Recomendaciones de corrección:

En respuesta a este resultado, es importante evaluar si hay alguna aplicación vulnerable que se esté ejecutando en la instancia de EC2 o si un usuario ha utilizado un navegador para acceder al dominio identificado en el resultado. Si la causa raíz es una aplicación vulnerable, debe corregir la vulnerabilidad. Si un usuario ha navegado por el dominio identificado, debe bloquear el dominio o impedir que los usuarios puedan acceder a él. Si determina que el resultado está relacionado con cualquiera de los casos anteriores, debe revocar la sesión asociada a la instancia de EC2.

Algunos clientes de AWS asignan deliberadamente la dirección IP de metadatos a un nombre de dominio en sus servidores DNS autorizados. Si este es el caso en su entorno de , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/MetaDataDNSRebind. El segundo criterio de filtro debe ser Dominio de la solicitud DNS y el valor debe coincidir con el dominio que ha mapeado a la dirección IP de metadatos (169.254.169.254). Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

UnauthorizedAccess:EC2/RDPBruteForce

Una instancia EC2 se ve implicada en ataques de fuerza bruta RDP.

Gravedad predeterminada: baja*

nota

La gravedad de este resultado es baja si su instancia de EC2 era el objetivo de un ataque de fuerza bruta. La gravedad de este resultado es alta si su instancia de EC2 es el actor que se utiliza para llevar a cabo el ataque de fuerza bruta.

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 del entorno de AWS se ha visto envuelta en un ataque de fuerza bruta cuyo objetivo ha sido obtener contraseñas de servicios de RDP en sistemas basados en Windows. Esto puede significar un acceso no autorizado a los recursos de AWS.

Recomendaciones de corrección:

Si el Rol de recurso de su instancia es ACTOR, indica que su instancia se ha utilizado para llevar a cabo ataques de fuerza bruta a RDP. A no ser que esta instancia tenga un motivo legítimo para contactar con la dirección IP mostrada en la lista como Target, se recomienda que asuma que su instancia se ha visto afectada y lleve a cabo las acciones que aparecen en Corregir una instancia de Amazon EC2 potencialmente comprometida.

Si el Rol de recurso de su instancia es TARGET, este resultado puede corregirse mediante la delegación de la protección de su puerto RDP solo a direcciones IP de confianza a través de grupos de seguridad, ACL o firewalls. Para obtener más información, consulte Tips for securing your EC2 instances (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Una instancia EC2 se ve implicada en ataques de fuerza bruta SSH.

Gravedad predeterminada: baja*

nota

La gravedad de este resultado es baja si se dirige un ataque de fuerza a una de las instancias de EC2. La gravedad de este resultado es alta si la instancia de EC2 se está utilizando para llevar a cabo el ataque de fuerza bruta.

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 del entorno de AWS se ha visto envuelta en un ataque de fuerza bruta cuyo objetivo ha sido obtener contraseñas de servicios de SSH en sistemas basados en Linux. Esto puede significar un acceso no autorizado a los recursos de AWS.

nota

Este resultado solo se genera mediante el monitoreo del tráfico en el puerto 22 por parte de . Si los servicios de SSH están configurados para usar otros puertos, no se genera este resultado.

Recomendaciones de corrección:

Si el objetivo del intento de fuerza bruta es un host bastión, esto podría representar el comportamiento esperado para su entorno de AWS. Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad no se espera en su entorno y el Rol de recurso de su instancia es TARGET, este resultado puede corregirse mediante la delegación de la protección de su puerto SSH solo a direcciones IP de confianza a través de grupos de seguridad, ACL o firewalls. Para obtener más información, consulte Tips for securing your EC2 instances (Linux).

Si el Rol de recurso de su instancia es ACTOR, indica que la instancia se ha utilizado para llevar a cabo ataques de fuerza bruta a SSH. A no ser que esta instancia tenga un motivo legítimo para contactar con la dirección IP mostrada en la lista como Target, se recomienda que asuma que su instancia se ha visto afectada y lleve a cabo las acciones que aparecen en Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/TorClient

La instancia EC2 está estableciendo conexiones con un guardia Tor o un nodo Authority.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 del entorno de AWS está estableciendo conexiones con un nodo Authority o Guard de Tor. Tor es un software que permite las comunicaciones anónimas. Los guardias Tor y los nodos Authority actúan como gateways a una red Tor. Este tráfico puede indicar que esta instancia de EC2 se ha visto afectada y está actuando como cliente en una red de Tor. Este resultado puede significar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/TorRelay

La instancia EC2 establece conexiones a una red Tor como repetidor Tor.

Gravedad predeterminada: alta

  • Origen de datos: registros de flujo de VPC

Este resultado le informa de que una instancia de EC2 del entorno de AWS está estableciendo conexiones con una red de Tor de una forma que sugiere que actúa como un relé de Tor. Tor es un software que permite las comunicaciones anónimas. Tor incrementa el anonimato en la comunicación, ya que reenvía el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.