Tipi di risultati del monitoraggio del runtime - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecuted

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di risultati del monitoraggio del runtime

Amazon GuardDuty genera i seguenti risultati di Runtime Monitoring per indicare potenziali minacce in base al comportamento a livello di sistema operativo degli host e contenitori Amazon EC2 nei cluster Amazon EKS, nei carichi di lavoro Fargate e Amazon ECS e nelle istanze Amazon EC2.

Nota

I tipi di esiti del monitoraggio del runtime EKS si basano sui log di runtime raccolti dagli host. I log contengono campi, come i percorsi dei file, che potrebbero essere controllati da un utente malintenzionato. Questi campi sono inclusi anche nei risultati per fornire un contesto di runtime. GuardDuty Quando si elaborano i risultati del Runtime Monitoring all'esterno della GuardDuty console, è necessario ripulire i campi di ricerca. Ad esempio, puoi codificare in HTML i campi degli esiti quando li visualizzi su una pagina Web.

CryptoCurrency:Runtime/BitcoinTool.B

Un'istanza Amazon EC2 o un container eseguono una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o un container nel tuo ambiente AWS eseguono una query su un indirizzo IP associato a un'attività correlata a una criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o un container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell'attività di blockchain, l'esito CryptoCurrency:Runtime/BitcoinTool.B potrebbe rappresentare un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:Runtime/BitcoinTool.B. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Un'istanza Amazon EC2 o un container eseguono una query su un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o un container all'interno del tuo ambiente AWS eseguono una query su un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata o il container potrebbero essere potenzialmente compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è una raccolta di dispositivi connessi a Internet, come PC, server, dispositivi mobili e dispositivi Internet of Things, che sono infettati e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un attacco DDoS (Distributed Denial of Service).

Nota

Se l'IP su cui viene eseguita una query è correlato a log4j, i campi dell'esito associato includeranno i valori seguenti:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

L'istanza Amazon EC2 o un container stabiliscono connessioni a una rete Tor come relè Tor.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che un'istanza EC2 o un contenitore nel tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

L'istanza Amazon EC2 o un container stabiliscono connessioni a un Tor Guard o a un nodo Authority.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che un'istanza EC2 o un contenitore nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che l'istanza EC2 o il container sono stati compromessi e fungono da client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della console. GuardDuty

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questa scoperta indica che l'istanza EC2 elencata o un contenitore nel tuo AWS ambiente potrebbe essere compromesso perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DropPoint

Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questa scoperta indica che un'istanza EC2 o un contenitore nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o un container nel tuo ambiente AWS eseguono una query su un nome di dominio associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo al fine di riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell'attività di blockchain, l'esito CryptoCurrency:Runtime/BitcoinTool.B!DNS potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di eliminazione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:Runtime/BitcoinTool.B!DNS. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Un'istanza Amazon EC2 o un container eseguono una query su nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container all'interno del tuo ambiente AWS eseguono una query su un nome di dominio associato a un server di comando e controllo (C&C) noto. L'istanza EC2 elencata o il container potrebbero essere compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è una raccolta di dispositivi connessi a Internet, come PC, server, dispositivi mobili e dispositivi Internet of Things, che sono infettati e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un attacco DDoS (Distributed Denial of Service).

Nota

Se il nome di dominio su cui è stata eseguita la query è relativo a log4j, i campi dell'esito associato includeranno i valori seguenti:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Nota

Per verificare come GuardDuty genera questo tipo di risultato, puoi effettuare una richiesta DNS dalla tua istanza (utilizzando dig per Linux o nslookup per Windows) su un dominio di test. guarddutyc2activityb.com

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio che è reindirizzato a un indirizzo IP di un buco nero.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container nel tuo ambiente AWS potrebbero essere compromessi in quanto eseguono una query su un nome di dominio che è reindirizzato all'indirizzo IP di un buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che un'istanza EC2 o un contenitore nel tuo AWS ambiente sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati catturati dal malware.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Un'istanza Amazon EC2 o un container eseguono una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un'indicazione di un'istanza EC2 o un container compromessi.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container nel tuo ambiente AWS tentano di eseguire una query su domini DGA. La risorsa potrebbe essere stata compromessa.

I DGA sono utilizzati periodicamente per generare un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Nota

Questa scoperta si basa su domini DGA noti provenienti dai feed di intelligence sulle GuardDuty minacce.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto che è l'origine nota di attacchi di download drive-by.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container nel tuo ambiente AWS potrebbero essere compromessi in quanto eseguono una query su un nome di dominio di un host remoto che è un'origine nota di attacchi di download drive-by. Si tratta di download di software non voluti da Internet che possono avviare l'installazione automatica di virus, spyware o malware.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Un'istanza Amazon EC2 o un container eseguono una query su domini implicati in attacchi di phishing.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che nel tuo ambiente AWS sono presenti un'istanza EC2 o un container che tentano di eseguire una query su un dominio implicato in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un'istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L'istanza EC2 o il container potrebbero tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L'istanza EC2 o il container potrebbero essere compromessi.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a domini noti in abuso.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container all'interno del tuo ambiente AWS eseguono una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti in abuso. Esempi di domini in abuso sono i nomi di dominio di primo livello (TLD) e i nomi di dominio di secondo livello (2LD) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l'indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L'istanza Amazon EC2 elencata o il container potrebbero essere compromessi poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per la distribuzione di malware e C&C.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container all'interno del tuo ambiente AWS eseguono una query su un nome di dominio a bassa reputazione associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o il container per estrarre o gestire criptovaluta o se tali risorse sono altrimenti coinvolte nell'attività di blockchain, questo esito potrebbe rappresentare un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di Impact:Runtime/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un dominio a bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container all'interno del tuo ambiente AWS eseguono una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l'istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione di natura sospetta a causa della sua età o della scarsa popolarità.

Gravità predefinita: bassa

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che l'istanza EC2 elencata o il container nel tuo ambiente AWS eseguono una query su un nome di dominio a bassa reputazione sospettato di essere dannoso. Abbiamo notato che le caratteristiche di questo dominio erano coerenti con i domini dannosi osservati in precedenza, ma il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Un'istanza Amazon EC2 o un container eseguono ricerche DNS che vengono risolte nel servizio di metadati dell'istanza.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Nota

Attualmente, questo tipo di ricerca è supportato solo per l'architettura AMD64.

Questo risultato ti informa che un'istanza EC2 o un contenitore nel tuo AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). Una query DNS di questo tipo può indicare che l'istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un'istanza EC2, incluse le credenziali IAM a essa associate.

Il rebinding DNS implica l'inganno di un'applicazione in esecuzione sull'istanza EC2 per caricare i dati restituiti da un URL, dove il nome di dominio nell'URL si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). In questo modo l'applicazione accede ai metadati EC2 e, possibilmente, li rende disponibili all'utente malintenzionato.

Puoi accedere ai metadati EC2 utilizzando il rebinding DNS solo se l'istanza EC2 esegue un'applicazione vulnerabile che consente l'iniezione di URL oppure se qualcuno accede all'URL in un browser Web in esecuzione sull'istanza EC2.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

In risposta a questo esito, devi valutare se è presente un'applicazione vulnerabile in esecuzione sull'istanza EC2 o sul container o se qualcuno ha utilizzato un browser per accedere al dominio identificato nell'esito. Se la causa principale è un'applicazione vulnerabile, procedi alla correzione della vulnerabilità. Se qualcuno ha navigato nel dominio identificato, blocca il dominio o impedisci agli utenti di accedervi. Se ritieni che l'esito sia correlato a uno dei due casi precedenti, Revoca la sessione associata all'istanza EC2.

Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:Runtime/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il Dominio richiesta DNS o l'ID immagine del container. Il valore del Dominio richiesta DNS deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

È stato eseguito un file binario appena creato o modificato di recente in un container.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che è stato eseguito un file binario appena creato o modificato di recente in un container. Ti consigliamo di mantenere i container non modificabili in fase di runtime. Inoltre, i file binari, gli script e le librerie non devono essere creati o modificati durante il ciclo di vita del container. Questo comportamento indica che un malintenzionato che ha ottenuto l'accesso al contenitore ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di una compromissione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un processo all'interno di un container comunica con il daemon Docker utilizzando il socket Docker.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Il socket Docker è un socket di dominio Unix utilizzato da daemon Docker (dockerd) per comunicare con i propri client. Un client può eseguire varie operazioni, come la creazione di container comunicando con il daemon Docker tramite il socket Docker. È sospetto che un processo del container acceda al socket Docker. Un processo del container può sfuggire ad esso e ottenere un accesso a livello di host comunicando con il socket Docker e creando un container privilegiato.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

È stato rilevato un tentativo di fuga dal contenitore tramite RunC.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

RunC è il runtime di container di basso livello utilizzato dai runtime di container di alto livello, come Docker e Containerd, per generare ed eseguire contenitori. RunC viene sempre eseguito con i privilegi di root perché deve eseguire l'operazione di basso livello di creazione di un contenitore. Un autore di minacce può ottenere l'accesso a livello di host modificando o sfruttando una vulnerabilità nel binario RunC.

Questa scoperta rileva la modifica del binario RunC e i potenziali tentativi di sfruttare le seguenti vulnerabilità RunC:

  • CVE-2019-5736— Lo sfruttamento di CVE-2019-5736 implica la sovrascrittura del binario RunC dall'interno di un contenitore. Questa scoperta viene richiamata quando il binario RunC viene modificato da un processo all'interno di un contenitore.

  • CVE-2024-21626— Lo sfruttamento di CVE-2024-21626 implica l'impostazione della directory di lavoro corrente (CWD) o di un contenitore su un descrittore di file aperto. /proc/self/fd/FileDescriptor Questo risultato viene richiamato quando viene rilevato un processo contenitore con una directory di lavoro corrente sotto/proc/self/fd/, ad esempio. /proc/self/fd/7

Questo risultato può indicare che un malintenzionato ha tentato di sfruttare uno dei seguenti tipi di contenitori:

  • Un nuovo container con un'immagine controllata dall'utente malintenzionato.

  • Un contenitore esistente accessibile all'attore con autorizzazioni di scrittura sul binario RunC a livello di host.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

È stato rilevato un tentativo di fuga dal contenitore tramite l'agente di rilascio di CGroups.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che è stato rilevato un tentativo di modificare un file dell'agente di rilascio del gruppo di controllo (cgroup). Linux utilizza i gruppi di controllo (cgroup) per limitare, tenere in considerazione e isolare l'utilizzo delle risorse di una raccolta di processi. Ogni cgroup ha un file dell'agente di rilascio (release_agent), uno script che Linux esegue quando termina un processo all'interno del cgroup. Il file dell'agente di rilascio viene sempre eseguito a livello di host. Un autore di minacce all'interno di un container può sfuggire all'host scrivendo comandi arbitrari nel file dell'agente di rilascio che appartiene a un cgroup. Al termine di un processo all'interno di questo cgroup, i comandi scritti dall'autore vengono eseguiti.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando il file system proc.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Il file system proc (procfs) è un particolare file system in Linux che presenta la memoria virtuale del processo come file. Il percorso di questo file è /proc/PID/mem, in cui PID è l'ID univoco del processo. Un autore di minacce può scrivere su questo file per iniettare codice nel processo. Questo esito identifica potenziali tentativi di scrittura sul file in questione.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando la chiamata di sistema ptrace.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare la chiamata di sistema ptrace per iniettare codice in un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando la chiamata di sistema ptrace.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo tramite scrittura diretta nella memoria virtuale.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare una chiamata di sistema, ad esempio process_vm_writev, per iniettare codice direttamente nella memoria virtuale di un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando una chiamata di sistema per scrivere nella memoria virtuale del processo stesso.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/ReverseShell

Un processo in un container o in un'istanza Amazon EC2 ha creato una shell (interprete di comandi) inversa.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Una shell (interprete di comandi) inversa è una sessione di shell creata su una connessione avviata dall'host di destinazione all'host dell'attore, ossia l'opposto di una normale shell (interprete di comandi), che viene invece avviata dall'host dell'attore all'host di destinazione. Gli autori delle minacce creano una shell (interprete di comandi) inversa per eseguire comandi sulla destinazione dopo aver ottenuto l'accesso iniziale. Questo esito identifica un potenziale tentativo di creare una shell (interprete di comandi) inversa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso.

DefenseEvasion:Runtime/FilelessExecution

Un processo in un container o in un'istanza Amazon EC2 esegue codice dalla memoria.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questo esito segnala un processo eseguito utilizzando un file eseguibile in memoria su disco. Si tratta di una tecnica comune di evasione della difesa in cui il file eseguibile dannoso non viene scritto sul disco per eludere il rilevamento basato sulla scansione del file system. Sebbene questa sia una tecnica utilizzata dal malware, presenta anche alcuni casi d'uso legittimi. Uno degli esempi è un compilatore just-in-time (JIT) che scrive codice compilato in memoria e lo esegue dalla memoria.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza Tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Un container o un'istanza Amazon EC2 eseguono un file binario associato a un'attività attività di mining di criptovalute.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che un contenitore o un'istanza EC2 nel tuo AWS ambiente sta eseguendo un file binario associato a un'attività di mining di criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della console. GuardDuty

Raccomandazioni per la correzione:

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console e vediCorrezione dei risultati del Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Una libreria appena creata o modificata di recente è stata caricata da un processo all'interno di un container.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Questo esito segnala che una libreria è stata creata o modificata all'interno di un container durante il runtime e caricata da un processo in esecuzione all'interno del container. La best practice è quella di mantenere i container non modificabili in fase di runtime e di non creare o modificare i file binari, gli script e le librerie durante il ciclo di vita del container. Il caricamento di una libreria appena creata o modificata in un container può indicare attività sospette. Questo comportamento indica che un utente malintenzionato ha potenzialmente ottenuto l'accesso al container e che ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di un compromesso, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un processo all'interno di un container ha montato un file system host in fase di runtime.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

Diverse tecniche di evasione da un container prevedono il montaggio di un file system host al suo interno in fase di runtime. Questo esito segnala che un processo all'interno di un container ha potenzialmente tentato di montare un file system host, il che potrebbe indicare un tentativo di sfuggire all'host.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un processo ha utilizzato chiamate di sistema userfaultfd per gestire errori di pagina nello spazio utente.

Gravità predefinita: media

  • Funzionalità: monitoraggio del runtime

In genere, gli errori di pagina vengono gestiti dal kernel nello spazio corrispondente. Tuttavia, la chiamata di sistema userfaultfd consente a un processo di gestire gli errori di pagina su un file system nello spazio utente. Questa funzionalità è utile perché abilita l'implementazione di file system nello spazio utente. D'altra parte, può anche essere usata da un processo potenzialmente dannoso per interrompere il kernel dallo spazio utente. L'interruzione del kernel tramite la chiamata di sistema userfaultfd è una tecnica di sfruttamento comune volta a estendere le finestre di gara durante lo sfruttamento delle condizioni di gara del kernel. L'utilizzo di userfaultfd può quindi indicare attività sospette sull'istanza Amazon Elastic Compute Cloud (Amazon EC2).

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/SuspiciousTool

Un contenitore o un'istanza Amazon EC2 esegue un file o uno script binario che viene spesso utilizzato in scenari di sicurezza offensivi come il pentesting engagement.

Gravità predefinita: variabile

La gravità di questo risultato può essere elevata o bassa, a seconda che lo strumento sospetto rilevato sia considerato a duplice uso o destinato esclusivamente a un uso offensivo.

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che uno strumento sospetto è stato eseguito su un'istanza o contenitore EC2 all'interno del tuo ambiente. AWS Ciò include gli strumenti utilizzati negli interventi di pentesting, noti anche come strumenti di backdoor, scanner di rete e sniffer di rete. Tutti questi strumenti possono essere utilizzati in contesti benigni, ma sono spesso utilizzati anche da autori di minacce con intenti malevoli. L'osservazione di strumenti di sicurezza offensivi potrebbe indicare che l'istanza o il contenitore EC2 associato è stato compromesso.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Un comando sospetto è stato eseguito su un'istanza Amazon EC2 o su un contenitore che è indicativo di una compromissione.

Gravità predefinita: variabile

A seconda dell'impatto del pattern dannoso osservato, la gravità di questo tipo di rilevamento potrebbe essere bassa, media o alta.

  • Funzionalità: monitoraggio del runtime

Questo risultato indica che è stato eseguito un comando sospetto e indica che un'istanza Amazon EC2 o un contenitore nel AWS tuo ambiente è stato compromesso. Ciò potrebbe significare che un file è stato scaricato da una fonte sospetta e quindi eseguito oppure che un processo in esecuzione mostra uno schema dannoso noto nella riga di comando. Ciò indica inoltre che sul sistema è in esecuzione del malware.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

È stato eseguito un comando sull'istanza Amazon EC2 o su un contenitore elencato, tenta di modificare o disabilitare un meccanismo di difesa Linux, come un firewall o servizi di sistema essenziali.

Gravità predefinita: variabile

A seconda del meccanismo di difesa modificato o disabilitato, la gravità di questo tipo di risultato può essere alta, media o bassa.

  • Funzionalità: monitoraggio del runtime

Questa scoperta indica che è stato eseguito un comando che tenta di nascondere un attacco ai servizi di sicurezza del sistema locale. Ciò include azioni come la disabilitazione del firewall Unix, la modifica delle tabelle IP locali, la rimozione di crontab voci, la disabilitazione di un servizio locale o l'assunzione della funzione. LDPreload Qualsiasi modifica è altamente sospetta e rappresenta un potenziale indicatore di compromissione. Pertanto, questi meccanismi rilevano o impediscono ulteriori compromissioni del sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella console. GuardDuty

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un processo in un contenitore o in un'istanza Amazon EC2 ha eseguito una misura anti-debug utilizzando la chiamata di sistema ptrace.

Gravità predefinita: bassa

  • Funzionalità: monitoraggio del runtime

Questo risultato mostra che un processo in esecuzione su un'istanza Amazon EC2 o su un contenitore all'interno del tuo AWS ambiente ha utilizzato la chiamata di sistema ptrace con l'opzione. PTRACE_TRACEME Questa attività provocherebbe il distacco di un debugger collegato dal processo in esecuzione. Se non è collegato alcun debugger, non ha alcun effetto. Tuttavia, l'attività di per sé solleva sospetti. Ciò potrebbe indicare che sul sistema è in esecuzione del malware. Il malware utilizza spesso tecniche anti-debug per eludere l'analisi e queste tecniche possono essere rilevate in fase di esecuzione.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Un file eseguibile dannoso noto è stato eseguito su un'istanza o un contenitore Amazon EC2.

Gravità predefinita: alta

  • Funzionalità: monitoraggio del runtime

Questa scoperta ti informa che un file eseguibile dannoso noto è stato eseguito su un'istanza Amazon EC2 o su un contenitore all'interno AWS del tuo ambiente. Si tratta di un forte indicatore del fatto che l'istanza o il contenitore sono stati potenzialmente compromessi e che il malware è stato eseguito.

Il malware utilizza spesso tecniche anti-debugging per eludere l'analisi e queste tecniche possono essere rilevate in fase di esecuzione.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente di runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.