GuardDuty Runtime Monitoring の検出結果タイプ
Amazon GuardDuty は、Amazon EKS クラスター、Fargate および Amazon ECS ワークロード、および Amazon EC2 インスタンス内の Amazon EC2 ホストとコンテナからのオペレーティングシステムレベルの動作に基づいて潜在的な脅威を示すために、以下の Runtime Monitoring の検出結果を生成します。
注記
Runtime Monitoring の検出結果タイプは、ホストから収集されたランタイムログに基づいています。ログには、悪意のある攻撃者によってコントロールされる可能性のあるファイルパスなどのフィールドが含まれています。これらのフィールドは、ランタイムコンテキストを提供するために GuardDuty の検出結果にも含まれています。Runtime Monitoring の検出結果を GuardDuty コンソールの外部で処理する場合、検出結果フィールドをサニタイズする必要があります。例えば、検出結果フィールドをウェブページに表示するときに、検索フィールドを HTML でエンコードできます。
トピック
- CryptoCurrency:Runtime/BitcoinTool.B
- Backdoor:Runtime/C&CActivity.B
- UnauthorizedAccess:Runtime/TorRelay
- UnauthorizedAccess:Runtime/TorClient
- Trojan:Runtime/BlackholeTraffic
- Trojan:Runtime/DropPoint
- CryptoCurrency:Runtime/BitcoinTool.B!DNS
- Backdoor:Runtime/C&CActivity.B!DNS
- Trojan:Runtime/BlackholeTraffic!DNS
- Trojan:Runtime/DropPoint!DNS
- Trojan:Runtime/DGADomainRequest.C!DNS
- Trojan:Runtime/DriveBySourceTraffic!DNS
- Trojan:Runtime/PhishingDomainRequest!DNS
- Impact:Runtime/AbusedDomainRequest.Reputation
- Impact:Runtime/BitcoinDomainRequest.Reputation
- Impact:Runtime/MaliciousDomainRequest.Reputation
- Impact:Runtime/SuspiciousDomainRequest.Reputation
- UnauthorizedAccess:Runtime/MetadataDNSRebind
- Execution:Runtime/NewBinaryExecuted
- PrivilegeEscalation:Runtime/DockerSocketAccessed
- PrivilegeEscalation:Runtime/RuncContainerEscape
- PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
- DefenseEvasion:Runtime/ProcessInjection.Proc
- DefenseEvasion:Runtime/ProcessInjection.Ptrace
- DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
- Execution:Runtime/ReverseShell
- DefenseEvasion:Runtime/FilelessExecution
- Impact:Runtime/CryptoMinerExecuted
- Execution:Runtime/NewLibraryLoaded
- PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
- PrivilegeEscalation:Runtime/UserfaultfdUsage
- Execution:Runtime/SuspiciousTool
- Execution:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/PtraceAntiDebugging
- Execution:Runtime/MaliciousFileExecuted
- Execution:Runtime/SuspiciousShellCreated
- PrivilegeEscalation:Runtime/ElevationToRoot
- Discovery:Runtime/SuspiciousCommand
- Persistence:Runtime/SuspiciousCommand
- PrivilegeEscalation:Runtime/SuspiciousCommand
CryptoCurrency:Runtime/BitcoinTool.B
Amazon EC2 インスタンスまたはコンテナが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナで暗号通貨関連アクティビティに紐づけられた IP アドレスがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご利用の AWS 環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B
という値を使用します。2 つ目のフィルター条件は、インスタンスの [インスタンス ID]、または暗号通貨やブロックチェーン関連のアクティビティに関わるコンテナの [コンテナイメージ ID] です。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Backdoor:Runtime/C&CActivity.B
Amazon EC2 インスタンスまたはコンテナは、既知のコマンドとコントロールサーバーに関連付けられる IP をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられた IP をクエリしていることを知らせるものです。リストされているインスタンスまたはコンテナが侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。
ボットネットとは、一般的なタイプのマルウェアに感染しコントロールされたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。
注記
クエリされた IP が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/TorRelay
Amazon EC2 インスタンスまたはコンテナが Tor リレーとして Tor ネットワークに接続しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナが Tor リレーとして動作していることを示す方法で、Tor ネットワークに接続中であることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。ある Tor リレーから別の Tor リレーにクライアントの不正なトラフィックを転送することで、通信の匿名性を高めます。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/TorClient
Amazon EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続中であることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスまたはコンテナが侵害された可能性があり、Tor ネットワーク上のクライアントとして動作していることを示している場合があります。この検出結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの不正アクセスを示している場合があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/BlackholeTraffic
Amazon EC2 インスタンスまたはコンテナが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナがブラックホール (あるいはシンクホール) の IP アドレスと通信しようとしているため、侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DropPoint
Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナで、マルウェアが取り込んだ認証情報やその他の盗難されたデータを保持して、リモートホストの IP アドレスに通信しようとしていることを知らせるものです。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
CryptoCurrency:Runtime/BitcoinTool.B!DNS
Amazon EC2 インスタンスまたはコンテナが暗号通貨のアクティビティに関連付けられているドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけたドメインがクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースを不正な暗号通貨マイニングに不正に転用するため、コンピュートリソースを乗っ取ろうとする可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナがを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B!DNS 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご利用の AWS 環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター検索条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B!DNS
という値を使用します。2 つ目のフィルター条件では、暗号通貨またはブロックチェーンアクティビティに関与するインスタンスの [インスタンス ID]、またはコンテナの [コンテナイメージ ID] である必要があります。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Backdoor:Runtime/C&CActivity.B!DNS
Amazon EC2 インスタンスまたはコンテナが、既知のコマンドとコントロールサーバーに関連付けられるドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスおよびコンテナが既知のコマンドとコントロール (C&C) サーバーに関連付けられているドメインをクエリしていることを知らせるものです。リスト化した EC2 インスタンスまたはコンテナは侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。
ボットネットとは、一般的なタイプのマルウェアに感染し制御されたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。
注記
クエリされたドメイン名が log4j 関連の場合、関連付けられた検出結果のフィールドには次の値が含まれます。
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
注記
GuardDuty がこの検出結果タイプを生成する方法をテストするには、テスト用のドメイン guarddutyc2activityb.com
に (Linux については dig
、Windows については nslookup
を使用して) インスタンスから DNS リクエストを実行できます。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/BlackholeTraffic!DNS
Amazon EC2 インスタンスまたはコンテナがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DropPoint!DNS
Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストのドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナで、マルウェアが取り込んだ認証情報やその他の盗難されたデータを保持するリモートホストのドメイン名をクエリしていることを知らせるものです。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DGADomainRequest.C!DNS
Amazon EC2 インスタンスまたはコンテナがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスまたはコンテナが侵害されている場合があります。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせるものです。リソースが侵害されている可能性があります。
DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータであり、一般的なタイプのマルウェアに感染して制御されたインターネットのコネクテッドデバイスのコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。
注記
この検出結果は、GuardDuty 脅威インテリジェンスフィードの既知の DGA ドメインに基づいています。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/DriveBySourceTraffic!DNS
Amazon EC2 インスタンスまたはコンテナがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、自動ダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、リスト化した AWS 環境の EC2 インスタンスまたはコンテナが侵害された可能性があることを知らせるものです。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールを開始する場合があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Trojan:Runtime/PhishingDomainRequest!DNS
Amazon EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせるものです。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすました人物によって設定されます。EC2 インスタンスまたはコンテナがフィッシングウェブサイトに保存されている機密データを検索しようとしたり、フィッシングウェブサイトをセットアップしようとしたりする可能性があります。EC2 インスタンスまたはコンテナが侵害されている可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/AbusedDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、既知の悪用されたドメインに関連付けられた評価の低いドメイン名をクエリしています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、既知の悪用されたドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。悪用したドメインの例としては、動的 DNS プロバイダーだけでなく、無料のサブドメイン登録を提供する最上位のドメイン名 (TLD) と第 2 位のドメイン名 (2LD) があります。脅威アクターは、無料または低コストでドメインを登録するこれらのサービスを使用する傾向があります。このカテゴリの評価の低いドメインは、レジストラのパーキング IP アドレスを決定する有効期限切れドメインであり、アクティブになっていない可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを管理する場所です。脅威アクターが一般的にこれらのレジストラのサービスまたは C&C のサービス、マルウェアディストリビューションに使用するため、リストされた Amazon EC2 インスタンスまたはコンテナは侵害される可能性があります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/BitcoinDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連付けられている評判の低いドメイン名をクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナで、ビットコイン、またはその他の暗号通貨関連アクティビティに紐づけた評判の低いドメイン名がクエリされていることを知らせるものです。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのリソースがブロックチェーンのアクティビティに関与している場合は、この検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご利用の AWS 環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に Impact:Runtime/BitcoinDomainRequest.Reputation
という値を使用します。2 番目のフィルター条件は、インスタンスの [インスタンス ID] か、コンテナの [コンテナイメージ ID] が暗号通貨やブロックチェーン関連のアクティビティに関係しているかどうかです。詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/MaliciousDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、悪意のある既知のドメインに関連付けられた評判の低いドメインをクエリしています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内にリストされている EC2 インスタンスまたはコンテナが、悪意のある既知のドメインまたは IP アドレスに関連付けられたレピュテーションの低いドメイン名をクエリしていることを知らせるものです。例えば、ドメインを既知のシンクホール IP アドレスに関連付けることができます。シンクホールドメインは、以前に脅威アクターに制御されたドメインであり、ドメインへのリクエストは、インスタンスが侵害されていることを示している場合があります。これらのドメインは、悪意のある既知のキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/SuspiciousDomainRequest.Reputation
Amazon EC2 インスタンスまたはコンテナが、年齢や低人気により、本質的に疑わしい、低評判のドメイン名をクエリしています。
デフォルトの重要度: [Low] (低)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境のリスト化した EC2 インスタンスまたはコンテナが悪意があると疑われたり、過去に悪意のあるドメインだったため評判の低いドメイン名をクエリしていることを知らせるものですが、当社の評判モデルは、既知の脅威と明確に関連付けることができませんでした。これらのドメインは通常、新たに観察されるか、または少量のトラフィックを受信します。
[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特徴を評価およびランク付けし、それが悪意のあるものである可能性を判断します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
UnauthorizedAccess:Runtime/MetadataDNSRebind
Amazon EC2 インスタンスまたはコンテナがインスタンスメタデータサービスに解決される DNS ルックアップを実行しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
注記
現在、この検出結果タイプは AMD64 アーキテクチャでのみサポートされています。
この検出結果は、AWS 環境の EC2 インスタンスまたはコンテナが、EC2 メタデータ IP アドレス (169.254.169.254) を決定するドメインをクエリしていることを知らせるものです。この種類の DNS クエリは、インスタンスが DNS リバイディング技術の対象であることを示している可能性があります。この手法は、インスタンスに関連付けらた IAM 認証情報など、EC2 インスタンスからメタデータを取得するために使用できます。
DNS リバインディングには、EC2 インスタンスで実行されているアプリケーションをだまして URL から返されるデータをロードすることが含まれます。URL のドメイン名は EC2 メタデータ IP アドレス (169.254.169.254
) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。
EC2 インスタンスが URL の追加を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで、誰かが URL にアクセスする場合のみ、DNS リバインディングを使用して EC2 メタデータにアクセスできます。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
この検出結果に応じて、EC2 インスタンスまたはコンテナで実行されている脆弱性アプリケーションがあるか、誰が検出結果で識別したドメインへアクセスするためブラウザを使用しているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修復します。ユーザーが識別したドメインを閲覧した場合、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この検出結果が上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す必要があります。
一部の AWS のお客様は、メタデータ IP アドレスを信頼できる DNS サーバーのドメイン名に意図的にマッピングします。ご利用の環境でこのような状況が発生した場合は、この検出結果に対する抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に UnauthorizedAccess:Runtime/MetaDataDNSRebind
という値を使用します。2 番目のフィルター条件は、[DNS リクエストドメイン] またはコンテナの [コンテナイメージ ID] です。[DNS リクエストのドメイン] を使用します。値はメタデータの IP アドレス (169.254.169.254
) にマッピングしたドメインと一致する必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/NewBinaryExecuted
コンテナで新しく作成、または最近変更されたバイナリファイルが実行されました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果から、コンテナ内で新たに作成、または最近変更されたバイナリファイルが実行されたことがわかります。実行時にコンテナを不変に保つことがベストプラクティスであり、バイナリファイル、スクリプト、またはライブラリはコンテナの存続期間中に作成または変更しないでください。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行したことを示しています。このタイプのアクティビティは侵害の兆候を示している可能性がありますが、一般的な使用パターンでもあります。したがって、GuardDuty はメカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみ、この検出結果タイプを生成します。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。変更プロセスと新しいバイナリを特定するには、[変更プロセス] の詳細と [プロセス] の詳細を表示します。
変更プロセスの詳細は、検出結果の JSON の service.runtimeDetails.context.modifyingProcess
フィールド、または検出結果の詳細パネルの [変更プロセス] に記載されています。この検出結果タイプでは、検出結果の JSON の service.runtimeDetails.context.modifyingProcess.executablePath
フィールド、または検出結果の詳細パネルの [変更プロセス] の一部として識別されるように、変更プロセスは /usr/bin/dpkg
です。
実行された新規または変更されたバイナリの詳細は、検出結果の JSON の service.runtimeDetails.process
、または [ランタイムの詳細] の [プロセス] セクションに記載されています。この検出結果タイプでは、service.runtimeDetails.process.executablePath
([実行可能パス]) フィールドで示されるように、新規または変更されたバイナリは /usr/bin/python3.8
です。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/DockerSocketAccessed
コンテナ内のプロセスは、Docker ソケットを使用して Docker デーモンと通信しています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
Docker ソケットは、Docker デーモン (dockerd
) がクライアントとの通信に使用する Unix ドメインソケットです。クライアントは、Docker ソケットを介して Docker デーモンと通信してコンテナを作成するなど、さまざまなアクションを実行できます。コンテナプロセスが Docker ソケットにアクセスするのは疑わしい状況です。コンテナプロセスは、Docket ソケットと通信して特権コンテナを作成することで、コンテナからエスケープしてホストレベルのアクセスを得ることができます。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/RuncContainerEscape
runC を介したコンテナエスケープの試行が検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
RunC は、Docker や Containerd などの高レベルコンテナランタイムがコンテナを生成して実行するために使用する低レベルのコンテナランタイムです。RunC はコンテナを作成する低レベルのタスクを実行する必要があるため、常にルート権限で実行されます。脅威アクターは、runC バイナリの脆弱性を変更または悪用することで、ホストレベルのアクセス権を取得することができます。
この検出結果は、runC バイナリの変更と、次の runC の脆弱性を悪用する試みの可能性を検出します。
-
CVE-2019-5736
– CVE-2019-5736 の悪用には、コンテナ内から runC バイナリを上書きすることが含まれます。この検出結果は、runC バイナリがコンテナ内のプロセスによって変更されたときに呼び出されます。 -
CVE-2024-21626
– CVE-2024-21626 の悪用には、現在の作業ディレクトリ (CWD) またはコンテナをオープンファイル記述子 /proc/self/fd/
に設定することが含まれます。この検出結果は、FileDescriptor
/proc/self/fd/
下に現在の作業ディレクトリでのコンテナプロセスが検出されたときに呼び出されます (例:/proc/self/fd/7
)。
この検出結果は、悪意のあるアクターが次のいずれかのタイプのコンテナで悪用を試みたことを示している可能性があります。
-
攻撃者がコントロールするイメージを含んだ新しいコンテナ。
-
ホストレベルの runC バイナリに対する書き込みアクセス許可を持つアクターがアクセスできた既存のコンテナ。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
CGroups リリースエージェントを介したコンテナエスケープの試行が検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果から、コントロールグループ (cgroup) リリースエージェントファイルを変更しようとした試みが検出されたことがわかります。Linux はコントロールグループ (cgroup) を使用して、プロセスの集合のリソース使用量を制限したり、説明したり、分離したりします。各 cgroup にはリリースエージェントファイル (release_agent
) があります。これは cgroup 内のいずれかのプロセスが終了したときに Linux が実行するスクリプトです。リリースエージェントファイルは常にホストレベルで実行されます。コンテナ内の脅威アクターは、cgroup に属するリリースエージェントファイルに任意のコマンドを書き込むことで、ホストに逃げることができます。その cgroup 内のプロセスが終了すると、アクターによって書き込まれたコマンドが実行されます。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.Proc
proc ファイルシステムを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。proc ファイルシステム (procfs) は、プロセスの仮想メモリをファイルとして表示する Linux の特別なファイルシステムです。そのファイルのパスは /proc/PID/mem
で、PID
はプロセスの固有の ID です。脅威アクターは、このファイルに書き込んで、プロセスにコードを挿入できます。この検出結果により、このファイルへの書き込みを試みる可能性が明らかになりました。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.Ptrace
ptrace システムコールを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは ptrace システムコールを使って、別のプロセスにコードを挿入できる。この検出結果により、ptrace システムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
仮想メモリへの直接書き込みによるプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは、process_vm_writev
などのシステムコールを使用して、別のプロセスの仮想メモリにコードを直接挿入することができます。この検出結果により、プロセスの仮想メモリに書き込むためのシステムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/ReverseShell
コンテナまたは Amazon EC2 インスタンス内のプロセスによってリバースシェルが作成されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
リバースシェルは、ターゲットホストからアクターのホストへの接続で作成されるシェルセッションです。これは、アクターのホストからターゲットのホストに対して開始される通常のシェルとは逆です。脅威アクターは、ターゲットへの最初のアクセス権を取得した後、リバースシェルを作成してターゲット上でコマンドを実行します。この検出結果により、リバースシェルの作成を試みる可能性が明らかになりました。
修復のレコメンデーション
このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。
DefenseEvasion:Runtime/FilelessExecution
コンテナまたは Amazon EC2 インスタンス内のプロセスが、メモリからコードを実行しています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果により、ディスク上のメモリ内の実行可能ファイルを使用してプロセスが実行されたときに通知されます。これは、ファイルシステムのスキャンによる検出を回避するために、悪意のある実行可能ファイルをディスクに書き込まないようにする、一般的な防御回避の手法です。この手法はマルウェアによって使用されていますが、正当な使用例もいくつかあります。その例の 1 つに、コンパイルされたコードをメモリに書き込み、メモリから実行するジャストインタイム (JIT) コンパイラが関連付けられていることを知らせるものです。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Impact:Runtime/CryptoMinerExecuted
コンテナまたは Amazon EC2 インスタンスが、暗号通貨マイニングアクティビティに関連するバイナリファイルを実行しています。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内のコンテナまたは EC2 インスタンスが、暗号通貨マイニングアクティビティに関連付けられたバイナリファイルを実行していることを示します。脅威アクターは、コンピューティングリソースをコントロールして、不正な暗号通貨マイニングに対して悪意を持ち再利用しようとする可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。
修復のレコメンデーション
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの結果の詳細で [リソースタイプ] を表示し、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/NewLibraryLoaded
新しく作成または最近変更されたライブラリが、コンテナ内のプロセスによってロードされました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果から、ライブラリが実行時にコンテナ内で作成または変更され、コンテナ内で実行されているプロセスによって読み込まれたことがわかります。ベストプラクティスは、実行時にはコンテナを不変のままにし、コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないことです。新しく作成または変更されたライブラリをコンテナにロードすると、不審なアクティビティが発生する可能性があります。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行した可能性があることを示しています。このタイプのアクティビティは侵害の兆候を示している可能性がありますが、一般的な使用パターンでもあります。したがって、GuardDuty はメカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみ、この検出結果タイプを生成します。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
コンテナ内のプロセスが、実行時にホストファイルシステムをマウントしました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
複数のコンテナエスケープ手法では、実行時にホストファイルシステムをコンテナ内にマウントします。この検出結果から、コンテナ内のプロセスがホストファイルシステムをマウントしようとした可能性があり、ホストへのエスケープが試みられた可能性があることがわかります。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/UserfaultfdUsage
あるプロセスが、userfaultfd
システム呼び出しを使用してユーザースペースのページフォールトを処理しました。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
通常、ページフォールトはカーネルスペースのカーネルによって処理されます。しかし、userfaultfd
システムコールを使うと、プロセスはユーザースペースのファイルシステムのページフォールトを処理できるようになります。これはユーザースペースのファイルシステムの実装を可能にする便利な機能です。一方で、潜在的に悪意のあるプロセスによってユーザースペースからカーネルを妨害するためにも使用される可能性があります。userfaultfd
システムコールを使ってカーネルを中断させることは、カーネルの競合状態を悪用している最中にレースウィンドウを延長するため、一般的に悪用の手法です。userfaultfd
を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス上で不審なアクティビティが行われたことを示している可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/SuspiciousTool
コンテナまたは Amazon EC2 インスタンスは、ペンテストエンゲージメントなどの攻撃的なセキュリティシナリオで頻繁に使用されるバイナリファイルまたはスクリプトを実行しています。
デフォルトの重要度: 可変
この検出結果の重要度は、検出された不審なツールがデュアルユースとみなされるか、攻撃専用であるかに応じて、高または低のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の EC2 インスタンスまたはコンテナで不審なツールが実行されたことを知らせるものです。これには、バックドアツール、ネットワークスキャナー、ネットワークスニファーとも呼ばれる、ペンテストエンゲージメントに使用されるツールが含まれます。これらのツールはすべて、悪意のないコンテキストで使用されることがありますが、悪意のある脅威アクターによっても頻繁に使用されます。攻撃的なセキュリティツールを観察すると、関連する EC2 インスタンスまたはコンテナが侵害されていることを示している場合があります。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/SuspiciousCommand
侵害を示す Amazon EC2 インスタンスまたはコンテナで疑わしいコマンドが実行されました。
デフォルトの重要度: 可変
観察された悪意のあるパターンの影響に応じて、この検出結果タイプの重要度は、低、中、高のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、疑わしいコマンドが実行され、AWS 環境内の Amazon EC2 インスタンスまたはコンテナが侵害されたことを示していることを知らせるものです。これは、ファイルが疑わしいソースからダウンロードされて実行されたか、実行中のプロセスでコマンドラインに既知の悪意のあるパターンが表示されることを意味している可能性があります。これはさらに、システムでマルウェアが実行されていることを示します。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/SuspiciousCommand
リストされている Amazon EC2 インスタンスまたはコンテナでコマンドが実行され、ファイアウォールや重要なシステムサービスなどの Linux 防御メカニズムを変更または無効化しようとしています。
デフォルトの重要度: 可変
どの防御メカニズムを変更または無効にしたかに応じて、この検出結果タイプの重要度は、高、中、低のいずれかになります。
-
機能: Runtime Monitoring
この検出結果は、ローカルシステムのセキュリティサービスから攻撃を隠そうとするコマンドが実行されたことを知らせるものです。これには、Unix ファイアウォールの無効化、ローカル IP テーブルの変更、crontab エントリの削除、ローカルサービスの無効化、LDPreload
関数の引き継ぎなどのアクションが含まれます。いかなる変更も非常に疑わしく、侵害を示唆している可能性があります。したがって、これらのメカニズムはシステムのさらなる侵害を検出または防止します。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
DefenseEvasion:Runtime/PtraceAntiDebugging
コンテナまたは Amazon EC2 インスタンスのプロセスが、ptrace システムコールを使用してアンチデバッグ対策を実行しました。
デフォルトの重要度: [Low] (低)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の Amazon EC2 インスタンスまたはコンテナで実行されているプロセスが、PTRACE_TRACEME
オプションを含む ptrace システムコールを使用したことを示しています。このアクティビティにより、アタッチされているデバッガーは実行中のプロセスからデタッチされます。デバッガーがアタッチされていない場合、影響はありません。ただし、アクティビティ自体が疑惑を生じさせます。これは、システムでマルウェアが実行されていることを示している可能性があります。マルウェアは、アンチデバッグの手法を頻繁に使用して分析を回避し、これらの手法は実行時に検出できます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/MaliciousFileExecuted
既知の悪意のある実行可能ファイルが Amazon EC2 インスタンスまたはコンテナで実行されました。
デフォルトの重要度: [High] (高)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の Amazon EC2 インスタンスまたはコンテナで既知の悪意のある実行可能ファイルが実行されたことを知らせるものです。これは、インスタンスまたはコンテナが侵害された可能性があり、マルウェアが実行されたことを強く示唆します。
マルウェアは、アンチデバッグの手法を頻繁に使用して分析を回避し、これらの手法は実行時に検出できます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Execution:Runtime/SuspiciousShellCreated
Amazon EC2 インスタンスまたはコンテナ内のネットワークサービスまたはネットワークからアクセス可能なプロセスがインタラクティブシェルプロセスを開始しました。
デフォルトの重要度: [Low] (低)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の Amazon EC2 インスタンスまたはコンテナのネットワークからアクセス可能なサービスがインタラクティブシェルを起動したことを知らせるものです。特定の状況では、このシナリオは悪用後の動作を示している場合があります。インタラクティブシェルを使用すると、攻撃者は侵害されたインスタンスまたはコンテナで任意のコマンドを実行できます。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。ネットワークからアクセス可能なプロセスの情報は、親プロセスの詳細で確認できます。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/ElevationToRoot
リストされた Amazon EC2 インスタンスまたはコンテナで実行されているプロセスがルート権限を引き受けています。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内のリストされた Amazon EC2 またはリストされたコンテナ内で実行されているプロセスが、異常または不審な setuid
バイナリ実行によってルート権限を引き受けたことを知らせるものです。これは、EC2 インスタンスの実行中のプロセスが悪用または setuid
悪用を通じて侵害された可能性があることを示します。ルート権限を使用すると、攻撃者はインスタンスまたはコンテナでコマンドを実行できる可能性があります。
GuardDuty は、sudo
コマンドの通常の使用を含むアクティビティに対してこの検出結果タイプを生成しないように設計されていますが、アクティビティが異常または不審であると識別されると、この検出結果が生成されます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Discovery:Runtime/SuspiciousCommand
不審なコマンドが Amazon EC2 インスタンスまたはコンテナで実行されたことにより、攻撃者がローカルシステム、周囲の AWS インフラストラクチャ、またはコンテナインフラストラクチャに関する情報を取得できます。
デフォルトの重要度: [Low] (低)
機能: Runtime Monitoring
この検出結果は、AWS 環境内のリストされた Amazon EC2 インスタンスまたはコンテナが、攻撃を進展させる可能性のある重要な情報を攻撃者に提供するコマンドを実行したことを知らせるものです。次の情報が取得された可能性があります。
-
ユーザーやネットワーク設定などのローカルシステム
-
その他の利用可能な AWS リソースおよびアクセス許可、または
-
サービスやポッドなどの Kubernetes インフラストラクチャ。
検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。不審なコマンドの詳細については、検出結果の JSON の service.runtimeDetails.context
フィールドを参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
Persistence:Runtime/SuspiciousCommand
不審なコマンドが Amazon EC2 インスタンスまたはコンテナで実行されたことにより、攻撃者が AWS 環境内でアクセスと制御を維持できます。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の Amazon EC2 インスタンスまたはコンテナで不審なコマンドが実行されたことを知らせるものです。コマンドは永続化メソッドをインストールし、マルウェアが中断なく実行されるようにしたり、攻撃者が侵害された可能性のあるインスタンスまたはコンテナリソースタイプに継続的にアクセスできるようにしたりします。これは、システムサービスがインストールまたは変更されたこと、crontab
が変更されたこと、または新しいユーザーがシステム設定に追加されたことを意味する可能性があります。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。
検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。不審なコマンドの詳細については、検出結果の JSON の service.runtimeDetails.context
フィールドを参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。
PrivilegeEscalation:Runtime/SuspiciousCommand
不審なコマンドが Amazon EC2 インスタンスまたはコンテナで実行されたことにより、攻撃者が権限を昇格できます。
デフォルトの重要度: [Medium] (中)
-
機能: Runtime Monitoring
この検出結果は、AWS 環境内の Amazon EC2 インスタンスまたはコンテナで不審なコマンドが実行されたことを知らせるものです。コマンドは権限昇格の実行を試みます。これにより、攻撃者が権限の高いタスクを実行できます。
GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。
検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。
GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。