GuardDuty Jenis temuan EC2 - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Jenis temuan EC2

Temuan berikut ini khusus untuk sumber daya Amazon EC2 dan selalu memiliki Tipe Sumber Daya Instance. Tingkat kepelikan dan detail temuan berbeda berdasarkan Peran Sumber Daya, yang menunjukkan apakah sumber daya EC2 adalah target aktivitas mencurigakan atau aktor yang melakukan aktivitas tersebut.

Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi selengkapnya tentang sumber data dan model, lihat Sumber data dasar.

catatan

Detail instans mungkin hilang untuk beberapa temuan EC2 jika instance telah dihentikan atau jika panggilan API yang mendasarinya adalah bagian dari panggilan API Lintas wilayah yang berasal dari instans EC2 di Wilayah yang berbeda.

Untuk semua temuan EC2, disarankan untuk memeriksa sumber daya yang bersangkutan untuk menentukan apakah sumber daya tersebut berperilaku seperti dengan yang diharapkan. Jika aktivitas diotorisasi, Anda dapat menggunakan Aturan Penekanan atau daftar IP Tepercaya untuk mencegah notifikasi positif palsu untuk sumber daya tersebut. Jika aktivitas tidak terduga, praktik keamanan terbaik adalah menganggap instans telah disusupi dan mengambil tindakan seperti yang diuraikan dalam Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/C&CActivity.B

Instans EC2 menanyakan IP yang terkait dengan server perintah dan kontrol yang dikenal.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans yang tercantum dalam lingkungan AWS Anda menanyakan IP yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Instans yang tercantum mungkin disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PC, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan terdistribusi (DDoS).

catatan

Jika IP yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:

  • Service.additionalInfo. threatListName = Amazon

  • Service.additionalInfo.ThreatName = Log4j Terkait

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/C&CActivity.B!DNS

Instans EC2 menanyakan nama domain yang terkait dengan server perintah dan kontrol yang dikenal.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans yang tercantum dalam lingkungan AWS Anda menanyakan nama domain yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Instans yang tercantum mungkin disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PC, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan terdistribusi (DDoS).

catatan

Jika nama domain yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:

  • Service.additionalInfo. threatListName = Amazon

  • Service.additionalInfo.ThreatName = Log4j Terkait

catatan

Untuk menguji bagaimana GuardDuty menghasilkan jenis temuan ini, Anda dapat membuat permintaan DNS dari instance Anda (menggunakan dig untuk Linux atau nslookup untuk Windows) terhadap domain guarddutyc2activityb.com pengujian.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/DenialOfService.Dns

Instans EC2 berperilaku dengan cara yang mungkin menunjukkan bahwa sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol DNS.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda menghasilkan lalu lintas DNS keluar dalam volume yang besar. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol DNS.

catatan

Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/DenialOfService.Tcp

Instans EC2 berperilaku dengan cara yang menunjukkan bahwa sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol TCP.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda menghasilkan lalu lintas TCP keluar dalam volume yang besar. Ini mungkin menunjukkan bahwa instance dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol TCP.

catatan

Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/DenialOfService.Udp

Instans EC2 berperilaku dengan cara yang menunjukkan bahwa sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol UDP.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yan terdaftar dalam lingkungan AWS Anda menghasilkan lalu lintas UDP keluar dalam volume yang besar. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol UDP.

catatan

Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Instans EC2 berperilaku dengan cara yang mungkin menunjukkan bahwa sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol UDP pada port TCP.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda menghasilkan lalu lintas UDP keluar dalam volume yang besar yang ditargetkan ke port yang biasanya digunakan untuk komunikasi TCP. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol UDP pada port TCP.

catatan

Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/DenialOfService.UnusualProtocol

Instans EC2 berperilaku dengan cara yang mungkin menunjukkan bahwa sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol yang tidak biasa.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar di lingkungan AWS Anda menghasilkan lalu lintas keluar dalam volume yang besar dari tipe protokol yang tidak biasa yang tidak biasanya digunakan oleh instans EC2, seperti Protokol Manajemen Grup Internet. Ini mungkin menunjukkan bahwa instance dikompromikan dan sedang digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol yang tidak biasa. Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/Spambot

Instans EC2 menunjukkan perilaku yang tidak biasa karena berkomunikasi dengan host jarak jauh pada port 25.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda berkomunikasi dengan host jarak jauh pada port 25. Perilaku ini tidak biasa karena instans EC2 ini tidak memiliki riwayat komunikasi sebelumnya pada port 25. Port 25 umumnya digunakan oleh server e-mail untuk komunikasi SMTP. Temuan ini menunjukkan bahwa instans EC2 Anda mungkin disusupi dan digunakan untuk mengirimkan spam.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Behavior:EC2/NetworkPortUnusual

Instans EC2 berkomunikasi dengan host jarak jauh pada port server yang tidak biasa.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. Instans EC2 ini tidak memiliki riwayat komunikasi pada port jarak jauh ini.

catatan

Jika instans EC2 dikomunikasikan pada port 389 atau port 1389, maka tingkat keparahan temuan terkait akan dimodifikasi menjadi Tinggi, dan bidang temuan akan mencakup nilai berikut:

  • Service.additionAlinfo.Context = Kemungkinan panggilan balik log4j

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Behavior:EC2/TrafficVolumeUnusual

Instans EC2 menghasilkan lalu lintas jaringan dalam jumlah besar yang tidak biasa ke host jarak jauh.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. Instans EC2 ini tidak memiliki riwayat pengiriman lalu lintas sebanyak ini ke host jarak jauh ini sebelumnya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

CryptoCurrency:EC2/BitcoinTool.B

Instans EC2 menanyakan alamat IP yang terkait dengan aktivitas mata uang kripto.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini memberi tahu Anda bahwa instans EC2 yang terdaftar di AWS lingkungan Anda menanyakan Alamat IP yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.

Rekomendasi remediasi:

Jika Anda menggunakan instans EC2 ini untuk menambang atau mengelola mata uang kripto, atau jika instans ini terlibat dalam aktivitas blockchain, temuan ini bisa jadi aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:EC2/BitcoinTool.B. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Instans EC2 menanyakan nama domain yang terkait dengan aktivitas mata uang kripto.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini memberi tahu Anda bahwa instans EC2 yang terdaftar di AWS lingkungan Anda menanyakan nama domain yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.

Rekomendasi remediasi:

Jika Anda menggunakan instans EC2 ini untuk menambang atau mengelola mata uang kripto, atau jika instans ini terlibat dalam aktivitas blockchain, temuan ini bisa jadi aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:EC2/BitcoinTool.B!DNS. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

DefenseEvasion:EC2/UnusualDNSResolver

Instans Amazon EC2 berkomunikasi dengan resolver DNS publik yang tidak biasa.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini memberi tahu Anda bahwa instans Amazon EC2 yang terdaftar di lingkungan AWS Anda berperilaku dengan cara yang menyimpang dari perilaku dasar. Instans EC2 ini tidak memiliki riwayat komunikasi terbaru dengan resolver DNS publik ini. Bidang yang tidak biasa di panel detail pencarian di GuardDuty konsol dapat memberikan informasi tentang penyelesai DNS yang ditanyakan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

DefenseEvasion:EC2/UnusualDoHActivity

Instans Amazon EC2 melakukan DNS yang tidak biasa melalui komunikasi HTTPS (DoH).

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini memberi tahu Anda bahwa instans Amazon EC2 yang terdaftar di lingkungan AWS Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. Instans EC2 ini tidak memiliki riwayat DNS terbaru melalui komunikasi HTTPS (DoH) dengan server DoH publik ini. Bidang yang tidak biasa dalam rincian temuan dapat memberikan informasi tentang server DoH yang ditanyakan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

DefenseEvasion:EC2/UnusualDoTActivity

Instans Amazon EC2 melakukan komunikasi DNS yang tidak biasa melalui TLS (DoT).

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. Instans EC2 ini tidak memiliki riwayat terbaru DNS melalui komunikasi TLS (DoT) dengan server DoT publik ini. Bidang yang tidak biasa di panel rincian temuan dapat memberikan informasi tentang server DoT yang ditanyakan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/AbusedDomainRequest.Reputation

Instans EC2 menanyakan nama domain bereputasi rendah yang terkait dengan domain yang diketahui disalahgunakan.

Tingkat keparahan default: Sedang

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans Amazon EC2 dalam lingkungan AWS Anda menanyakan nama domain bereputasi rendah yang terkait dengan domain atau alamat IP yang diketahui disalahgunakan. Contoh domain yang disalahgunakan adalah nama domain tingkat atas (TLD) dan nama domain tingkat kedua (2LDs) yang menyediakan pendaftaran subdomain gratis serta penyedia DNS dinamis. Aktor ancaman cenderung menggunakan layanan ini untuk mendaftarkan domain secara gratis atau dengan biaya rendah. Domain bereputasi rendah dalam kategori ini mungkin juga merupakan domain kedaluwarsa yang mencari alamat IP parkir registrar dan oleh karena itu mungkin tidak lagi aktif. IP parkir adalah tempat registrar mengarahkan lalu lintas untuk domain yang belum ditautkan ke layanan apa pun. Instans Amazon EC2 yang terdaftar dapat disusupi karena pelaku ancaman biasanya menggunakan layanan registrar ini atau layanan untuk distribusi C&C dan malware.

Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/BitcoinDomainRequest.Reputation

Instans EC2 menanyakan nama domain dengan reputasi rendah yang terkait dengan aktivitas terkait cryptocurrency.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans Amazon EC2 yang terdaftar dalam lingkungan AWS Anda menanyakan nama domain bereputasi rendah yang terkait dengan Bitcoin atau aktivitas mata uang kripto lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.

Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.

Rekomendasi remediasi:

Jika Anda menggunakan instans EC2 ini untuk menambang atau mengelola mata uang kripto, atau jika instans ini terlibat dalam aktivitas blockchain, temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Impact:EC2/BitcoinDomainRequest.Reputation. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/MaliciousDomainRequest.Reputation

Instans EC2 menanyakan domain bereputasi rendah yang terkait dengan domain berbahaya yang dikenal.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans Amazon EC2 yang terdaftar dalam lingkungan AWS Anda menanyakan nama domain bereputasi rendah yang terkait dengan domain berbahaya atau alamat IP yang dikenal. Misalnya, domain dapat dikaitkan dengan alamat IP sinkhole yang dikenal. Domain sinkhole adalah domain yang sebelumnya dikendalikan oleh aktor ancaman, dan permintaan yang dibuat untuk domain tersebut dapat menunjukkan bahwa instans disusupi. Domain ini juga dapat dikorelasikan dengan kampanye berbahaya atau algoritme pembuatan domain yang dikenal.

Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/PortSweep

Instans EC2 memeriksa port pada sejumlah besar alamat IP.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda memeriksa port pada sejumlah besar alamat IP yang dapat dirutekan secara publik. Tipe aktivitas ini biasanya digunakan untuk menemukan host yang rentan untuk dieksploitasi. Di panel detail pencarian di GuardDuty konsol Anda, hanya alamat IP jarak jauh terbaru yang ditampilkan

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/SuspiciousDomainRequest.Reputation

Instans EC2 menanyakan nama domain bereputasi rendah yang mencurigakan karena usia, atau popularitasnya yang rendah.

Tingkat keparahan default: Rendah

  • Sumber data: log DNS

Temuan ini memberi tahu Anda bahwa instans Amazon EC2 yang terdaftar di lingkungan AWS Anda menanyakan nama domain dengan reputasi rendah yang diduga jahat. memperhatikan karakteristik domain ini yang konsisten dengan domain berbahaya yang diamati sebelumnya, namun, model reputasi kami tidak dapat secara definitif menghubungkannya dengan ancaman yang diketahui. Domain ini biasanya baru diamati atau menerima jumlah lalu lintas yang rendah.

Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Impact:EC2/WinRMBruteForce

Instans EC2 melakukan serangan brute force Windows Remote Management keluar.

Tingkat keparahan default: Rendah*

catatan

Tingkat kepelikan temuan ini rendah jika instans EC2 Anda adalah target dari serangan brute force. Tingkat kepelikan temuan ini tinggi jika instans EC2 Anda adalah aktor yang digunakan untuk melakukan serangan brute force.

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda melakukan serangan brute force Windows Remote Management (WinRM) yang bertujuan untuk mendapatkan akses ke layanan Windows Remote Management pada sistem berbasis Windows.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Recon:EC2/PortProbeEMRUnprotectedPort

Instans EC2 memiliki port EMR yang tidak dilindungi yang sedang diperiksa oleh host berbahaya yang dikenal.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini memberi tahu Anda bahwa port sensitif terkait EMR pada instans EC2 yang terdaftar yang merupakan bagian dari cluster di lingkungan AWS Anda tidak diblokir oleh grup keamanan, daftar kontrol akses (ACL), atau firewall on-host seperti Linux IPTables. Temuan ini juga menginformasikan bahwa pemindai yang dikenal di Internet secara aktif menyelidiki port ini. Port yang dapat memicu temuan ini, seperti port 8088 (YARN Web UI port), berpotensi digunakan untuk eksekusi kode jarak jauh.

Rekomendasi remediasi:

Anda harus memblokir akses terbuka ke port pada klaster dari internet dan membatasi akses hanya ke alamat IP tertentu yang memerlukan akses ke port ini. Untuk informasi selengkapnya, lihat Grup Keamanan untuk Klaster EMR.

Recon:EC2/PortProbeUnprotectedPort

Instans EC2 memiliki port yang tidak dilindungi yang sedang diperiksa oleh host berbahaya yang dikenal.

Tingkat keparahan default: Rendah*

catatan

Tingkat kepelikan default temuan ini Rendah. Namun, jika port yang sedang diselidiki, digunakan oleh Elasticsearch (9200 atau 9300), tingkat keparahan temuannya Tinggi.

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa port pada instans EC2 yang terdaftar dalam lingkungan AWS Anda tidak diblokir oleh grup keamanan, daftar kontrol akses (ACL), atau firewall on-host seperti Linux IPTables, dan pemindai yang dikenal di internet memeriksanya secara aktif.

Jika port tidak terlindungi yang teridentifikasi adalah 22 atau 3389 dan Anda menggunakan port ini agar terhubung ke instans Anda, Anda masih dapat membatasi eksposur dengan mengizinkan akses ke port ini hanya untuk alamat IP dari ruang alamat IP jaringan perusahaan Anda. Untuk membatasi akses ke port 22 di Linux, lihat Otorisasi Lalu Lintas Masuk untuk Instans Linux Anda. Untuk membatasi akses ke port 3389 pada Windows, lihat Otorisasi Lalu Lintas Masuk untuk Instans Windows Anda.

GuardDuty tidak menghasilkan temuan ini untuk port 443 dan 80.

Rekomendasi remediasi:

Mungkin terdapat kasus ketika instans sengaja diekspos, misalnya ketika instans menghosting server web. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk mengatur aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/PortProbeUnprotectedPort. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Recon:EC2/Portscan

Instans EC2 melakukan pemindaian port keluar ke host jarak jauh.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda kemungkinan terlibat dalam serangan pemindaian port karena mencoba untuk menghubungkan ke beberapa port dalam waktu yang singkat. Tujuan serangan pemindaian port adalah untuk menemukan port terbuka guna menemukan layanan mana yang dijalankan mesin dan untuk mengidentifikasi sistem operasinya.

Rekomendasi remediasi:

Temuan ini bisa menjadi positif palsu ketika aplikasi penilaian kerentanan diterapkan pada instans EC2 di lingkungan Anda karena aplikasi ini melakukan pemindaian port untuk mengingatkan Anda tentang port terbuka yang salah konfigurasi. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/Portscan. Kriteria filter kedua harus sesuai dengan instans yang menghosting alat penilaian kerentanan ini. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/BlackholeTraffic

Instans EC2 mencoba untuk berkomunikasi dengan alamat IP dari host jarak jauh yang dikenal sebagai black hole.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini memberi tahu Anda bahwa instans EC2 yang terdaftar di AWS lingkungan Anda mungkin terganggu karena mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju. Alamat IP lubang hitam menentukan mesin host yang tidak berjalan atau alamat yang tidak ada host yang ditugaskan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/BlackholeTraffic!DNS

Instans EC2 menanyakan nama domain yang sedang diarahkan ke alamat IP black hole.

Tingkat keparahan default: Sedang

  • Sumber data: log DNS

Temuan ini memberi tahu Anda bahwa instans EC2 yang terdaftar di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam. Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DGADomainRequest.B

Instans EC2 menanyakan domain yang dihasilkan dengan algoritme. Domain tersebut umumnya digunakan oleh malware dan dapat menjadi indikasi instans EC2 yang disusupi.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda mencoba menanyakan domain algoritme pembuatan domain (DGA). Instans EC2 Anda mungkin disusupi.

DGAs digunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.

catatan

Temuan ini didasarkan pada analisis nama domain menggunakan heuristik lanjutan dan dapat mengidentifikasi domain DGA baru yang tidak terdapat dalam umpan intelijen ancaman.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DGADomainRequest.C!DNS

Instans EC2 menanyakan domain yang dihasilkan dengan algoritme. Domain tersebut umumnya digunakan oleh malware dan dapat menjadi indikasi instans EC2 yang disusupi.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda mencoba menanyakan domain algoritme pembuatan domain (DGA). Instans EC2 Anda mungkin disusupi.

DGAs digunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.

catatan

Temuan ini didasarkan pada domain DGA yang diketahui dari GuardDuty umpan intelijen ancaman.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DNSDataExfiltration

Instans EC2 mengekstraksi data melalui kueri DNS.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda menjalankan malware yang menggunakan kueri DNS untuk transfer data keluar. Tipe transfer data ini merupakan indikasi dari instans yang disusupi dan dapat mengakibatkan eksfiltrasi data. Lalu lintas DNS biasanya tidak diblokir oleh firewall. Misalnya, malware dalam instans EC2 yang disusupi dapat mengkodekan data, (seperti nomor kartu kredit Anda), menjadi kueri DNS dan mengirimkannya ke server DNS jarak jauh yang dikendalikan oleh penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DriveBySourceTraffic!DNS

Instans EC2 menanyakan nama domain dari host jarak jauh yang merupakan sumber serangan unduhan Drive-By yang diketahui.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 yang terdaftar dalam lingkungan AWS Anda mungkin disusupi karena menanyakan nama domain dari host jarak jauh yang merupakan sumber serangan unduhan drive-by yang diketahui. Ini merupakan unduhan perangkat lunak komputer yang tidak diinginkan dari internet yang dapat memicu penginstalan virus, spyware, atau malware secara otomatis.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DropPoint

Instans EC2 mencoba berkomunikasi dengan alamat IP dari host jarak jauh yang diketahui menyimpan kredensial dan data curian lainnya yang ditangkap oleh malware.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda mencoba berkomunikasi dengan alamat IP dari host jarak jauh yang diketahui menyimpan kredensial dan data curian lainnya yang ditangkap oleh malware.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/DropPoint!DNS

Instans EC2 menanyakan nama domain dari host jarak jauh yang diketahui menyimpan kredensial dan data curian lainnya yang ditangkap oleh malware.

Tingkat keparahan default: Sedang

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda menanyakan nama domain dari host jarak jauh yang diketahui menyimpan kredensial dan data curian lainnya yang ditangkap oleh malware.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Trojan:EC2/PhishingDomainRequest!DNS

Instans EC2 menanyakan domain yang terlibat dalam serangan phishing. Instans EC2 Anda mungkin disusupi.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa terdapat instans EC2 dalam lingkungan AWS Anda yang mencoba menanyakan domain yang terlibat dalam serangan phishing. Domain phishing dibuat oleh seseorang yang menyamar sebagai institusi yang sah untuk membujuk individu agar memberikan data sensitif, seperti informasi pengenal pribadi, detail kartu kredit dan perbankan, serta kata sandi. Instans EC2 Anda mungkin mencoba mengambil data sensitif yang disimpan di situs web phishing, atau mungkin mencoba membuat situs web phishing. Instans EC2 Anda mungkin disusupi.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Instans EC2 membuat koneksi ke alamat IP pada daftar ancaman kustom.

Tingkat keparahan default: Sedang

  • Sumber data: log alur VPC

Temuan ini meninformasikan bahwa instans EC2 dalam lingkungan AWS Anda berkomunikasi dengan alamat IP yang termasuk dalam daftar ancaman yang Anda unggah. Dalam GuardDuty, daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. GuardDutymenghasilkan temuan berdasarkan daftar ancaman yang diunggah. Daftar ancaman yang digunakan untuk menghasilkan temuan ini akan tercantum dalam detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

UnauthorizedAccess:EC2/MetadataDNSRebind

Instans EC2 melakukan pencarian DNS untuk layanan metadata instans.

Tingkat keparahan default: Tinggi

  • Sumber data: log DNS

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda menanyakan domain yang mencari alamat IP (169.254.169.254) metadata EC2. Kueri DNS semacam ini dapat menunjukkan bahwa instans adalah target dari teknik rebinding DNS. Teknik ini dapat digunakan untuk mendapatkan metadata dari instans EC2, termasuk kredensial IAM yang terkait dengan instans.

Rebinding DNS melibatkan pemalsuan aplikasi yang berjalan pada instans EC2 untuk memuat data yang dikembalikan dari URL, di mana nama domain di URL ditujukan ke alamat IP (169.254.169.254) metadata EC2. Hal ini menyebabkan aplikasi mengakses metadata EC2 dan mungkin membuatnya tersedia untuk penyerang.

Dimungkinkan untuk mengakses metadata EC2 menggunakan rebinding DNS hanya jika instans EC2 menjalankan aplikasi rentan yang memungkinkan injeksi URL, atau jika seseorang mengakses URL di browser web yang berjalan pada instans EC2.

Rekomendasi remediasi:

Menanggapi temuan ini, Anda harus mengevaluasi apakah ada aplikasi rentan yang berjalan pada instans EC2, atau jika seseorang menggunakan browser untuk mengakses domain yang diidentifikasi dalam temuan. Jika akar penyebabnya adalah aplikasi yang rentan, Anda harus memperbaiki kerentanannya. Jika seseorang menjelajahi domain yang diidentifikasi, Anda harus memblokir domain atau mencegah pengguna mengaksesnya. Jika Anda menentukan temuan ini terkait dengan kedua kasus di atas, cabut sesi yang terkait dengan instans EC2.

Beberapa pelanggan AWS sengaja memetakan alamat IP metadata ke nama domain di server DNS otoritatif mereka. Jika hal ini dilakukan di lingkungan Anda, kami menyarankan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/MetaDataDNSRebind. Kriteria filter kedua harus menggunakan Domain permintaan DNS dan nilainya harus sesuai dengan domain yang telah Anda petakan ke alamat IP (169.254.169.254) metadata. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

UnauthorizedAccess:EC2/RDPBruteForce

Instans EC2 telah terlibat dalam serangan brute force RDP.

Tingkat keparahan default: Rendah*

catatan

Tingkat kepelikan temuan ini rendah jika instans EC2 Anda adalah target dari serangan brute force. Tingkat kepelikan temuan ini tinggi jika instans EC2 Anda adalah aktor yang digunakan untuk melakukan serangan brute force.

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda terlibat dalam serangan brute force yang bertujuan untuk mendapatkan kata sandi ke layanan RDP pada sistem berbasis Windows. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya AWS Anda.

Rekomendasi remediasi:

Jika Peran Sumber Daya instans Anda adalah ACTOR, hal ini mengindikasikan bahwa instans Anda telah digunakan untuk melakukan serangan brute force RDP. Kecuali instans ini memiliki alasan yang sah untuk menghubungi alamat IP yang terdaftar sebagai Target, Anda disarankan untuk menganggap bahwa instans Anda telah disusupi dan mengambil tindakan yang tercantum di Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

Jika Peran Sumber Daya instans Anda adalah TARGET, temuan ini dapat diperbaiki dengan mengamankan port RDP Anda hanya ke IP yang tepercaya melalui Grup Keamanan, ACL, atau firewall. Untuk informasi selengkapnya, lihat Tip untuk mengamankan instans EC2 Anda (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Instans EC2 telah terlibat dalam serangan brute force SSH.

Tingkat keparahan default: Rendah*

catatan

Tingkat kepelikan temuan ini rendah jika serangan brute force ditujukan pada salah satu instans EC2 Anda. Tingkat kepelikan temuan ini tinggi jika instans EC2 Anda sedang digunakan untuk melakukan serangan brute force.

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda terlibat dalam serangan brute force yang bertujuan untuk mendapatkan kata sandi ke layanan SSH pada sistem berbasis Linux. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya AWS Anda.

catatan

Temuan ini dihasilkan hanya melalui pemantauan lalu lintas pada port 22. Jika layanan SSH Anda dikonfigurasi untuk menggunakan port lain, temuan ini tidak dihasilkan.

Rekomendasi remediasi:

Jika target dari upaya brute force adalah host bastion, ini mungkin mewakili perilaku yang diharapkan untuk lingkungan AWS Anda. Jika demikian, kami menyarakan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/SSHBruteForce. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak diharapkan untuk lingkungan Anda dan jika Peran Sumber Daya instans Anda adalah TARGET, temuan ini dapat diperbaiki dengan mengamankan port SSH Anda hanya ke IP yang tepercaya melalui Grup Keamanan, ACL, atau firewall. Untuk informasi selengkapnya, lihat Tip untuk mengamankan instans EC2 Anda (Linux).

Jika Peran Sumber Daya instans Anda adalah ACTOR, hal ini mengindikasikan bahwa instans telah digunakan untuk melakukan serangan brute force SSH. Kecuali instans ini memiliki alasan yang sah untuk menghubungi alamat IP yang terdaftar sebagai Target, Anda disarankan untuk menganggap bahwa instans Anda telah disusupi dan mengambil tindakan yang tercantum di Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

UnauthorizedAccess:EC2/TorClient

Instans EC2 Anda membuat koneksi ke Tor Guard atau node Authority.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda membuat koneksi ke Tor Guard atau node Otoritas. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Node Tor Guards dan Authority bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat mengindikasikan bahwa instans EC2 ini telah disusupi dan bertindak sebagai klien pada jaringan Tor. Temuan ini mungkin mengindikasikan akses yang tidak sah ke sumber daya AWS Anda yang bertujuan untuk menyembunyikan identitas penyerang yang sebenarnya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.

UnauthorizedAccess:EC2/TorRelay

Instans EC2 Anda membuat koneksi ke jaringan Tor sebagai relay Tor.

Tingkat keparahan default: Tinggi

  • Sumber data: log alur VPC

Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda membuat koneksi ke jaringan Tor dengan cara yang mengindikasikan bahwa instans bertindak sebagai relay Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Tor meningkatkan anonimitas komunikasi dengan meneruskan lalu lintas klien yang kemungkinan terlarang dari satu relay Tor ke relay lainnya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Lihat informasi yang lebih lengkap di Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.