翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Runtime Monitoring の検出結果タイプ
Amazon は、Amazon EKS クラスター、Fargate および Amazon EC2 Amazon EC2インスタンス内の Amazon EC2 ホストおよびコンテナからのオペレーティングシステムレベルの動作に基づいて潜在的な脅威を示すために、次の Runtime Monitoring の検出結果 GuardDuty を生成します。
注記
Runtime Monitoring の検出結果タイプは、ホストから収集されたランタイムログに基づいています。ログには、悪意のある攻撃者によってコントロールされる可能性のあるファイルパスなどのフィールドが含まれています。これらのフィールドは、ランタイムコンテキストを提供するために検出 GuardDuty 結果にも含まれます。 GuardDuty コンソールの外部で Runtime Monitoring の検出結果を処理する場合は、検出結果フィールドをサニタイズする必要があります。例えば、検出結果フィールドをウェブページに表示するときに、検索フィールドを HTML でエンコードできます。
トピック
- CryptoCurrency:Runtime/BitcoinTool.B
- Backdoor:Runtime/C&CActivity.B
- UnauthorizedAccess:Runtime/TorRelay
- UnauthorizedAccess:Runtime/TorClient
- Trojan:Runtime/BlackholeTraffic
- Trojan:Runtime/DropPoint
- CryptoCurrency:Runtime/BitcoinTool.B!DNS
- Backdoor:Runtime/C&CActivity.B!DNS
- Trojan:Runtime/BlackholeTraffic!DNS
- Trojan:Runtime/DropPoint!DNS
- Trojan:Runtime/DGADomainRequest.C!DNS
- Trojan:Runtime/DriveBySourceTraffic!DNS
- Trojan:Runtime/PhishingDomainRequest!DNS
- Impact:Runtime/AbusedDomainRequest.Reputation
- Impact:Runtime/BitcoinDomainRequest.Reputation
- Impact:Runtime/MaliciousDomainRequest.Reputation
- Impact:Runtime/SuspiciousDomainRequest.Reputation
- UnauthorizedAccess:Runtime/MetadataDNSRebind
- Execution:Runtime/NewBinaryExecuted
- PrivilegeEscalation:Runtime/DockerSocketAccessed
- PrivilegeEscalation:Runtime/RuncContainerEscape
- PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
- DefenseEvasion:Runtime/ProcessInjection.Proc
- DefenseEvasion:Runtime/ProcessInjection.Ptrace
- DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
- Execution:Runtime/ReverseShell
- DefenseEvasion:Runtime/FilelessExecution
- Impact:Runtime/CryptoMinerExecuted
- Execution:Runtime/NewLibraryLoaded
- PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
- PrivilegeEscalation:Runtime/UserfaultfdUsage
- Execution:Runtime/SuspiciousTool
- Execution:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/PtraceAntiDebugging
- Execution:Runtime/MaliciousFileExecuted
CryptoCurrency:Runtime/BitcoinTool.B
Amazon EC2 インスタンスまたはコンテナが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで暗号通貨関連アクティビティに紐づけられた IP アドレスがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご使用の AWS 環境でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B
という値を使用します。2 つ目のフィルター条件は、インスタンスの [インスタンス ID]、または暗号通貨やブロックチェーン関連のアクティビティに関わるコンテナの [コンテナイメージ ID] です。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Backdoor:Runtime/C&CActivity.B
Amazon EC2 インスタンスまたはコンテナは、既知のコマンドとコントロールサーバーに関連付けられる IP をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられた IP をクエリしていることを知らせるものです。リストされているインスタンスまたはコンテナが侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。
ボットネットとは、一般的なタイプのマルウェアに感染しコントロールされたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。
注記
クエリされた IP が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールの検出結果パネル GuardDutyでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/TorRelay
Amazon EC2 インスタンスまたはコンテナが Tor リレーとして Tor ネットワークに接続しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内の EC2 インスタンスまたはコンテナが、Tor リレーとして動作していることを示す方法で Tor ネットワークに接続していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。ある Tor リレーから別の Tor リレーにクライアントの不正なトラフィックを転送することで、通信の匿名性を高めます。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/TorClient
Amazon EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内の EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続中であることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスまたはコンテナが侵害された可能性があり、Tor ネットワーク上のクライアントとして動作していることを示している場合があります。この検出結果は、攻撃者の真のアイデンティティを隠す目的で、 AWS リソースへの不正アクセスを示している可能性があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/BlackholeTraffic
Amazon EC2 インスタンスまたはコンテナが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナがブラックホール (またはシンクホール) の IP アドレスと通信しようとしているために侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DropPoint
Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内の EC2 インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持していることがわかっているリモートホストの IP アドレスと通信しようとしていることを知らせるものです。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
CryptoCurrency:Runtime/BitcoinTool.B!DNS
Amazon EC2 インスタンスまたはコンテナが暗号通貨のアクティビティに関連付けられているドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけたドメインがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースを不正な暗号通貨マイニングに不正に転用するため、コンピュートリソースを乗っ取ろうとする可能性があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナがを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B!DNS 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご使用の AWS 環境でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター検索条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B!DNS
という値を使用します。2 つ目のフィルター条件では、暗号通貨またはブロックチェーンアクティビティに関与するインスタンスの [インスタンス ID]、またはコンテナの [コンテナイメージ ID] である必要があります。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Backdoor:Runtime/C&CActivity.B!DNS
Amazon EC2 インスタンスまたはコンテナが、既知のコマンドとコントロールサーバーに関連付けられるドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスおよびコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせるものです。リスト化した EC2 インスタンスまたはコンテナは侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。
ボットネットとは、一般的なタイプのマルウェアに感染し制御されたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。
注記
クエリされたドメイン名が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
注記
がこの検出結果タイプ GuardDuty を生成する方法をテストするには、テストドメイン に対してインスタンス から DNS リクエスト (dig
Linux の場合は 、Windows nslookup
の場合は を使用) を行いますguarddutyc2activityb.com
。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/BlackholeTraffic!DNS
Amazon EC2 インスタンスまたはコンテナがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DropPoint!DNS
Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストのドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内の EC2 インスタンスまたはコンテナが、マルウェアによってキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストのドメイン名をクエリしていることを知らせるものです。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DGADomainRequest.C!DNS
Amazon EC2 インスタンスまたはコンテナがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスまたはコンテナが侵害されている場合があります。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせるものです。リソースが侵害されている可能性があります。
DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータであり、一般的なタイプのマルウェアに感染して制御されたインターネットのコネクテッドデバイスのコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。
注記
この検出結果は、 GuardDuty 脅威インテリジェンスフィードの既知の DGA ドメインに基づいています。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DriveBySourceTraffic!DNS
Amazon EC2 インスタンスまたはコンテナがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、自動ダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、リスト化した AWS 環境の EC2 インスタンスまたはコンテナが侵害された可能性があることを知らせるものです。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールを開始する場合があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/PhishingDomainRequest!DNS
Amazon EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境の EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせるものです。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすました人物によって設定されます。EC2 インスタンスまたはコンテナがフィッシングウェブサイトに保存されている機密データを検索しようとしたり、フィッシングウェブサイトをセットアップしようとしたりする可能性があります。EC2 インスタンスまたはコンテナが侵害されている可能性があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/AbusedDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、既知の悪用されたドメインに関連付けられた評価の低いドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、既知の悪用されたドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。悪用したドメインの例としては、動的 DNS プロバイダーだけでなく、無料のサブドメイン登録を提供する最上位のドメイン名 (TLD) と第 2 位のドメイン名 (2LD) があります。脅威アクターは、無料または低コストでドメインを登録するこれらのサービスを使用する傾向があります。このカテゴリの評価の低いドメインは、レジストラのパーキング IP アドレスを決定する有効期限切れドメインであり、アクティブになっていない可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを管理する場所です。脅威アクターが一般的にこれらのレジストラのサービスまたは C&C のサービス、マルウェアディストリビューションに使用するため、リストされた Amazon EC2 インスタンスまたはコンテナは侵害される可能性があります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/BitcoinDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連付けられている評判の低いドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけた評判の低いドメイン名がクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのリソースがブロックチェーンのアクティビティに関与している場合は、この検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。 AWS ご使用の環境でこのような場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に Impact:Runtime/BitcoinDomainRequest.Reputation
という値を使用します。2 番目のフィルター条件は、インスタンスの [インスタンス ID] か、コンテナの [コンテナイメージ ID] が暗号通貨やブロックチェーン関連のアクティビティに関係しているかどうかです。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/MaliciousDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、悪意のある既知のドメインに関連付けられた評判の低いドメインをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、悪意のある既知のドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。例えば、ドメインを既知のシンクホール IP アドレスに関連付けることができます。シンクホールドメインは、以前に脅威アクターに制御されたドメインであり、ドメインへのリクエストは、インスタンスが侵害されていることを示している場合があります。これらのドメインは、悪意のある既知のキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/SuspiciousDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、年齢や低人気により、本質的に疑わしい、低評判のドメイン名をクエリしています。
デフォルトの重要度: [Low] (低)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境のリスト化した EC2 インスタンスまたはコンテナが悪意があると疑われたり、過去に悪意のあるドメインだったため評判の低いドメイン名をクエリしていることを知らせるものですが、当社の評判モデルは、既知の脅威と明確に関連付けることができませんでした。これらのドメインは通常、新たに観察されるか、または少量のトラフィックを受信します。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/MetadataDNSRebind
Amazon EC2 インスタンスまたはコンテナがインスタンスメタデータサービスに解決される DNS ルックアップを実行しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
注記
現在、この検出結果タイプは AMD64 アーキテクチャでのみサポートされています。
この検出結果は、 AWS 環境内の EC2 インスタンスまたはコンテナが EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしていることを知らせるものです。この種類の DNS クエリは、インスタンスが DNS リバイディング技術の対象であることを示している可能性があります。この手法は、インスタンスに関連付けらた IAM 認証情報など、EC2 インスタンスからメタデータを取得するために使用できます。
DNS リバインディングには、EC2 インスタンスで実行されているアプリケーションをだまして URL から返されるデータをロードすることが含まれます。URL のドメイン名は EC2 メタデータ IP アドレス (169.254.169.254
) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。
EC2 インスタンスが URL の追加を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで、誰かが URL にアクセスする場合のみ、DNS リバインディングを使用して EC2 メタデータにアクセスできます。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
この検出結果に応じて、EC2 インスタンスまたはコンテナで実行されている脆弱性アプリケーションがあるか、誰が検出結果で識別したドメインへアクセスするためブラウザを使用しているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修復します。ユーザーが識別したドメインを閲覧した場合、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この検出結果が上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す必要があります。
一部の AWS お客様は、メタデータ IP アドレスを権威 DNS サーバーのドメイン名に意図的にマッピングします。ご利用の環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に UnauthorizedAccess:Runtime/MetaDataDNSRebind
という値を使用します。2 番目のフィルター条件は、[DNS リクエストドメイン] またはコンテナの [コンテナイメージ ID] です。[DNS リクエストのドメイン] を使用します。値はメタデータの IP アドレス (169.254.169.254
) にマッピングしたドメインと一致する必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/NewBinaryExecuted
コンテナで新しく作成、または最近変更されたバイナリファイルが実行されました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果から、コンテナ内で新たに作成、または変更されたバイナリファイルが実行されたことがわかります。実行時にコンテナを不変に保つことがベストプラクティスであり、バイナリファイル、スクリプト、またはライブラリはコンテナの存続期間中に作成または変更しないでください。この動作は、潜在的な侵害の一環として、コンテナへのアクセスを取得し、マルウェアやその他のソフトウェアをダウンロードして実行した悪意のあるアクターを示します。このタイプのアクティビティは侵害の兆候である可能性がありますが、一般的な使用パターンでもあります。したがって、 GuardDuty は メカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみこの検出結果タイプを生成します。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/DockerSocketAccessed
コンテナ内のプロセスは、Docker ソケットを使用して Docker デーモンと通信しています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
Docker ソケットは、Docker デーモン (dockerd
) がクライアントとの通信に使用する Unix ドメインソケットです。クライアントは、Docker ソケットを介して Docker デーモンと通信してコンテナを作成するなど、さまざまなアクションを実行できます。コンテナプロセスが Docker ソケットにアクセスするのは疑わしい状況です。コンテナプロセスは、Docket ソケットと通信して特権コンテナを作成することで、コンテナからエスケープしてホストレベルのアクセスを得ることができます。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/RuncContainerEscape
runC を介したコンテナエスケープの試行が検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
RunC は、Docker や Containerd などの高レベルのコンテナランタイムがコンテナのスポーンと実行に使用する低レベルのコンテナランタイムです。RunC は、コンテナ作成の低レベルタスクを実行する必要があるため、常にルート権限で実行されます。脅威アクターは、runC バイナリの脆弱性を変更または悪用することで、ホストレベルのアクセスを取得できます。
この検出結果は、runC バイナリの変更と、次の runC の脆弱性を悪用しようとする潜在的な試みを検出します。
-
CVE-2019-5736
– の悪用CVE-2019-5736には、コンテナ内から runC バイナリを上書きすることが含まれます。この検出結果は、runC バイナリがコンテナ内のプロセスによって変更されると呼び出されます。 -
CVE-2024-21626
– の悪用CVE-2024-21626には、現在の作業ディレクトリ (CWD) またはコンテナをオープンファイル記述子 に設定する必要があります /proc/self/fd/
。この検出結果は、 の現在の作業ディレクトリを持つコンテナプロセスFileDescriptor
/proc/self/fd/
が検出されたときに呼び出されます/proc/self/fd/7
。例えば、。
この検出結果は、悪意のある攻撃者が次のいずれかのタイプのコンテナで悪用を実行しようとしたことを示している可能性があります。
-
攻撃者がコントロールするイメージを含んだ新しいコンテナ。
-
ホストレベルの runC バイナリに対する書き込み権限を持つアクターがアクセス可能な既存のコンテナ。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
CGroups リリースエージェントを介したコンテナエスケープの試行が検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果から、コントロールグループ (cgroup) リリースエージェントファイルを変更しようとした試みが検出されたことがわかります。Linux はコントロールグループ (cgroup) を使用して、プロセスの集合のリソース使用量を制限したり、説明したり、分離したりします。各 cgroup にはリリースエージェントファイル (release_agent
) があります。これは cgroup 内のいずれかのプロセスが終了したときに Linux が実行するスクリプトです。リリースエージェントファイルは常にホストレベルで実行されます。コンテナ内の脅威アクターは、cgroup に属するリリースエージェントファイルに任意のコマンドを書き込むことで、ホストに逃げることができます。その cgroup 内のプロセスが終了すると、アクターによって書き込まれたコマンドが実行されます。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.Proc
proc ファイルシステムを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。proc ファイルシステム (procfs) は、プロセスの仮想メモリをファイルとして表示する Linux の特別なファイルシステムです。そのファイルのパスは /proc/PID/mem
で、PID
はプロセスの固有の ID です。脅威アクターは、このファイルに書き込んで、プロセスにコードを挿入できます。この検出結果により、このファイルへの書き込みを試みる可能性が明らかになりました。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.Ptrace
ptrace システムコールを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは ptrace システムコールを使って、別のプロセスにコードを挿入できる。この検出結果により、ptrace システムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
仮想メモリへの直接書き込みによるプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは、process_vm_writev
などのシステムコールを使用して、別のプロセスの仮想メモリにコードを直接挿入することができます。この検出結果により、プロセスの仮想メモリに書き込むためのシステムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/ReverseShell
コンテナまたは Amazon EC2 インスタンス内のプロセスによってリバースシェルが作成されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
リバースシェルは、ターゲットホストからアクターのホストへの接続で作成されるシェルセッションです。これは、アクターのホストからターゲットのホストに対して開始される通常のシェルとは逆です。脅威アクターは、ターゲットへの最初のアクセス権を取得した後、リバースシェルを作成してターゲット上でコマンドを実行します。この検出結果により、リバースシェルの作成を試みる可能性が明らかになりました。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。
DefenseEvasion:Runtime/FilelessExecution
コンテナまたは Amazon EC2 インスタンス内のプロセスが、メモリからコードを実行しています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果により、ディスク上のメモリ内の実行可能ファイルを使用してプロセスが実行されたときに通知されます。これは、ファイルシステムのスキャンによる検出を回避するために、悪意のある実行可能ファイルをディスクに書き込まないようにする、一般的な防御回避の手法です。この手法はマルウェアによって使用されていますが、正当な使用例もいくつかあります。例の 1 つは、コンパイルされたコードをメモリに書き込み、メモリから実行する just-in-time (JIT) コンパイラです。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/CryptoMinerExecuted
コンテナまたは Amazon EC2 インスタンスが、暗号通貨マイニングアクティビティに関連するバイナリファイルを実行しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、 AWS 環境内のコンテナまたは EC2 インスタンスが、暗号通貨マイニングアクティビティに関連付けられたバイナリファイルを実行していることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールの検出結果パネルでリソースタイプを表示します。
修復のレコメンデーション
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、 GuardDuty コンソールで検出結果の詳細でリソースタイプを表示し、「」を参照してくださいRuntime Monitoring 検出結果の修正。
Execution:Runtime/NewLibraryLoaded
新しく作成または最近変更されたライブラリが、コンテナ内のプロセスによってロードされました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果から、ライブラリが実行時にコンテナ内で作成または変更され、コンテナ内で実行されているプロセスによって読み込まれたことがわかります。ベストプラクティスは、実行時にはコンテナを不変のままにし、コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないことです。新しく作成または変更されたライブラリをコンテナにロードすると、不審なアクティビティが発生する可能性があります。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行した可能性があることを示しています。このタイプのアクティビティは侵害の兆候である可能性がありますが、一般的な使用パターンでもあります。したがって、 GuardDuty は メカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみこの検出結果タイプを生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
コンテナ内のプロセスが、実行時にホストファイルシステムをマウントしました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
複数のコンテナエスケープ手法では、実行時にホストファイルシステムをコンテナ内にマウントします。この検出結果から、コンテナ内のプロセスがホストファイルシステムをマウントしようとした可能性があり、ホストへのエスケープが試みられた可能性があることがわかります。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/UserfaultfdUsage
あるプロセスが、userfaultfd
システム呼び出しを使用してユーザースペースのページフォールトを処理しました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
通常、ページフォールトはカーネルスペースのカーネルによって処理されます。しかし、userfaultfd
システムコールを使うと、プロセスはユーザースペースのファイルシステムのページフォールトを処理できるようになります。これはユーザースペースのファイルシステムの実装を可能にする便利な機能です。一方で、潜在的に悪意のあるプロセスによってユーザースペースからカーネルを妨害するためにも使用される可能性があります。userfaultfd
システムコールを使ってカーネルを中断させることは、カーネルの競合状態を悪用している最中にレースウィンドウを延長するため、一般的に悪用の手法です。userfaultfd
を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス上で不審なアクティビティが行われたことを示している可能性があります。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/SuspiciousTool
コンテナまたは Amazon EC2 インスタンスでバイナリファイルまたはスクリプトが実行されており、ペネストエンゲージメントなどの攻撃的なセキュリティシナリオで頻繁に使用されます。
デフォルトの重要度: 可変
この検出結果の重要度は、検出された疑わしいツールが二重使用と見なされるか、攻撃的な使用のみを目的としているかに応じて、高または低のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、疑わしいツールが環境内の EC2 インスタンスまたはコンテナで実行されたことを知らせるものです AWS 。これには、バックドアツール、ネットワークスキャナー、ネットワークスニファとも呼ばれる、ペンテストエンゲージメントで使用されるツールが含まれます。これらのツールはすべて無害なコンテキストで使用できますが、悪意のある意図を持つ脅威アクターによって頻繁に使用されます。攻撃的なセキュリティツールを観察すると、関連する EC2 インスタンスまたはコンテナが侵害されている可能性があります。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/SuspiciousCommand
疑わしいコマンドがAmazon EC2 インスタンスまたは侵害を示すコンテナで実行されました。
デフォルトの重要度: 可変
観察された悪意のあるパターンの影響に応じて、この検出結果タイプの重要度は低、中、または高のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、疑わしいコマンドが実行されたことを知らせ、 AWS 環境内の Amazon EC2 インスタンスまたはコンテナが侵害されたことを示します。これは、ファイルが疑わしいソースからダウンロードされて実行されたか、実行中のプロセスがコマンドラインに既知の悪意のあるパターンを表示することを意味します。これはさらに、マルウェアがシステムで実行されていることを示しています。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/SuspiciousCommand
コマンドは、リストされた Amazon EC2 インスタンスまたはコンテナで実行され、ファイアウォールや重要なシステムサービスなどの Linux 防御メカニズムを変更または無効にしようとします。
デフォルトの重要度: 可変
どの防御メカニズムが変更または無効化されたかに応じて、この検出結果タイプの重要度は高、中、低のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、ローカルシステムのセキュリティサービスから攻撃を隠そうとするコマンドが実行されたことを知らせるものです。これには、Unix ファイアウォールの無効化、ローカル IP テーブルの変更、crontabエントリの削除、ローカルサービスの無効化、LDPreload
関数の引き継ぎなどのアクションが含まれます。変更は非常に疑わしいものであり、侵害の潜在的な指標です。したがって、これらのメカニズムはシステムのさらなる侵害を検出または防止します。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害された可能性のあるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/PtraceAntiDebugging
コンテナまたは Amazon EC2 インスタンスのプロセスが、ptrace システムコールを使用してデバッグ対策を実行しました。
デフォルトの重要度: [Low] (低)
-
機能: Runtime Monitoring
この検出結果は、Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、 PTRACE_TRACEME
オプションを指定して ptrace システムコールを使用していることを示しています。このアクティビティにより、アタッチされたデバッガーが実行中のプロセスからデタッチされます。デバッガーがアタッチされていない場合、効果はありません。ただし、アクティビティ自体が疑惑を引き起こします。これは、マルウェアがシステムで実行されていることを示している可能性があります。Malware は、デバッグ防止技術を頻繁に使用して分析を回避し、これらの技術は実行時に検出できます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/MaliciousFileExecuted
悪意のある既知の実行可能ファイルが Amazon EC2 インスタンスまたはコンテナで実行されている。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、既知の悪意のある実行可能ファイルが Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されたことを知らせるものです。これは、インスタンスまたはコンテナが侵害された可能性があり、マルウェアが実行されたことを示す強力な指標です。
Malware は、デバッグ防止技術を頻繁に使用して分析を回避し、これらの技術は実行時に検出できます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べて、関連するアクティビティとコンテキストが疑わしい可能性がある場合にのみこの検出結果を生成します。
ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、コンソールで検出結果の詳細で GuardDutyリソースタイプを表示します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。