사용 중지된 결과 유형

결과는 GuardDuty에서 발견한 잠재적 보안 문제에 대한 세부 정보를 포함한 알림입니다. 새로 추가되었거나 수명 종료된 결과 유형을 포함하여 GuardDuty 결과 유형에 대한 중요한 변화에 대한 내용은 아마존 문서 기록 GuardDuty을 참조하십시오.

다음 결과 유형은 사용이 중지되어 GuardDuty에서 더 이상 생성하지 않습니다.

중요

사용 중지된 GuardDuty 결과 유형은 다시 활성화할 수 없습니다.

Exfiltration:S3/ObjectRead.Unusual

IAM 엔터티가 의심스러운 방식으로 S3 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

• 데이터 소스: S3에 대한 CloudTrail 데이터 이벤트

이 결과는 AWS 환경의 IAM 엔터티가 S3 버킷과 관련되고 해당 엔터티의 설정된 기준과 다른 API 호출을 수행하고 있음을 알려줍니다. 이 활동에 사용되는 API 호출은 공격자가 데이터 수집을 시도하는 공격의 유출 단계와 관련이 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 S3 버킷 수정 섹션을 참조하세요.

Impact:S3/PermissionsModification.Unusual

IAM 엔터티가 하나 이상의 S3 리소스에 대한 권한을 수정하기 위해 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 IAM 엔터티가 AWS 환경에 있는 하나 이상의 버킷 또는 객체에 대한 권한을 수정하도록 설계된 API 호출을 수행하고 있음을 알려줍니다. 공격자가 계정 외부에서 정보가 공유되도록 이 작업을 수행할 수 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 S3 버킷 수정 섹션을 참조하세요.

Impact:S3/ObjectDelete.Unusual

IAM 엔터티가 S3 버킷의 데이터를 삭제하는 데 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 IAM 엔터티가 버킷 자체를 삭제하여 목록에 있는 S3 버킷의 데이터를 삭제하도록 설계된 API 호출을 수행하고 있음을 알려줍니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 S3 버킷 수정 섹션을 참조하세요.

Discovery:S3/BucketEnumeration.Unusual

IAM 엔터티가 네트워크 내에서 S3 버킷을 검색하는 데 사용되는 S3 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 IAM 엔터티가 환경에서 S3 버킷을 검색하기 위한 S3 API(예: ListBuckets)를 간접적으로 호출했음을 알려줍니다. 이 활동 유형은 일반적으로 공격자가 AWS 환경이 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계와 관련이 있습니다. IAM 엔터티가 API를 간접적으로 호출한 방식이 비정상적이었기 때문에 이 활동은 의심스럽습니다. 이 IAM 엔터티가 이전에 이러한 유형의 API를 호출한 기록이 없거나 API가 비정상적인 위치에서 간접적으로 호출된 경우를 예로 들 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 S3 버킷 수정 섹션을 참조하세요.

Persistence:IAMUser/NetworkPermissions

IAM 엔터티가 AWS 계정에서의 보안 그룹, 라우팅 및 ACL에 대한 네트워크 액세스 권한을 변경하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 호출 내역이 없습니다.

이 결과는 보안 주체가 이전에 호출한 적이 없는 CreateSecurityGroup API를 간접적으로 호출하는 경우와 같이 의심스러운 상황에서 네트워크 구성 설정이 변경될 때 트리거됩니다. 공격자가 EC2 인스턴스에 대한 액세스를 개선하기 위해서 다양한 포트의 인바운드 트래픽을 허용하는 보안 그룹 변경을 시도하는 경우가 종종 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Persistence:IAMUser/ResourcePermissions

보안 주체가 AWS 계정에서 다양한 리소스의 보안 액세스 정책을 변경하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 호출 내역이 없습니다.

이 결과는 AWS 리소스에 연결된 정책 또는 권한의 변경이 탐지될 때 트리거됩니다(예: AWS 환경의 보안 주체가 이전에 호출한 적이 없는 PutBucketPolicy API를 간접적으로 호출하는 경우). 예를 들어 Amazon S3와 같은 일부 서비스는 하나 이상의 보안 주체에 리소스 액세스를 허용하는 리소스 연결 권한을 지원합니다. 보안 인증 정보가 도난당한 상태에서 공격자는 리소스에 연결된 정책을 변경하여 리소스에 대한 액세스를 획득할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Persistence:IAMUser/UserPermissions

보안 주체가 AWS 계정에서 IAM 사용자, 그룹 또는 정책을 추가, 변경 또는 삭제하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 호출 내역이 없습니다.

이 결과는 AWS 환경의 보안 주체가 이전에 간접적으로 호출한 적이 없는 AttachUserPolicy API를 간접 호출하는 경우와 같이 AWS 환경의 사용자 관련 권한이 의심스럽게 변경된 경우 트리거됩니다. 공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정 소유자가 특정 IAM 사용자 또는 암호의 도난을 파악하고 계정에서 삭제할 수 있습니다. 하지만 허위로 만든 관리자 보안 주체가 생성한 다른 사용자는 삭제되지 않을 수 있으므로 공격자가 해당 AWS 계정에 액세스할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

PrivilegeEscalation:IAMUser/AdministrativePermissions

한 보안 주체가 본인에게 과도하게 허용적인 정책을 할당하려고 시도했습니다.

기본 심각도: 낮음*

참고

권한 에스컬레이션 시도가 실패했다면 이 결과의 심각도는 낮은 수준이며 권한 에스컬레이션 시도가 성공했다면 중간 수준입니다.

이 결과는 사용자의 AWS 환경의 특정 IAM 엔터티가 권한 에스컬레이션 공격을 의미할 수 있는 행동을 보이고 있음을 나타냅니다. IAM 사용자 또는 역할이 자신에게 매우 허용적인 정책을 할당하려고 시도할 때 이 결과가 트리거됩니다. 해당 사용자 또는 역할이 관리 권한을 보유해야 하는 경우가 아니라면 이는 사용자의 자격 증명이 손상되었거나 역할의 권한이 적절히 구성되지 않았음을 나타냅니다.

공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정의 소유자는 특정 IAM 사용자의 로그인 보안 인증 정보가 도난당했음을 인지하고 이를 계정에서 삭제할 수 있습니다. 하지만 부정하게 생성된 관리 보안 주체가 생성한 다른 사용자를 삭제할 수 없어 공격자가 여전히 AWS 계정에 액세스가 가능할 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Recon:IAMUser/NetworkPermissions

보안 주체가 AWS 계정에서의 보안 그룹, 라우팅 및 ACL에 대한 네트워크 액세스 권한을 변경하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 호출 내역이 없습니다.

의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 적이 없는 DescribeInstances API를 간접적으로 호출했습니다. 공격자는 도난당한 보안 인증 정보를 사용하여 가치 있는 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 능력을 판단하도록 일종의 AWS 리소스 정찰을 수행할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Recon:IAMUser/ResourcePermissions

보안 주체가 AWS 계정에서 다양한 리소스의 보안 액세스 정책을 변경하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이 API의 이전 호출 내역이 없습니다.

의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 적이 없는 DescribeInstances API를 간접적으로 호출했습니다. 공격자는 도난당한 보안 인증 정보를 사용하여 가치 있는 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 능력을 판단하도록 일종의 AWS 리소스 정찰을 수행할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Recon:IAMUser/UserPermissions

보안 주체가 AWS 계정에서 IAM 사용자, 그룹 또는 정책을 추가, 변경 또는 삭제하는 데 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

의심스러운 상황에서 AWS 환경의 사용자 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 간접적으로 호출한 적이 없는 ListInstanceProfilesForRole API를 호출했습니다. 공격자는 도난당한 보안 인증 정보를 사용하여 가치 있는 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 능력을 판단하도록 일종의 AWS 리소스 정찰을 수행할 수 있습니다.

이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이 보안 주체에게는 이러한 방법으로 이 API의 이전 호출 내역이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

ResourceConsumption:IAMUser/ComputeResources

보안 주체가 EC2 인스턴스와 같은 컴퓨팅 리소스를 시작하는 데 일반적으로 사용되는 API를 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

의심스러운 상황에서 AWS 환경 내에 나열된 계정에서 EC2 인스턴스가 시작될 때 결과가 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 나타냅니다. 이전에 간접적으로 호출한 적이 없는 RunInstances API의 호출을 예로 들 수 있습니다. 공격자가 도난당한 자격 증명을 사용하여 컴퓨팅 시간을 훔치는 신호일 수 있습니다(암호 화폐 마이닝 또는 암호 크래킹이 목적일 수 있음). 또한 공격자가 AWS 환경의 EC2 인스턴스와 그 자격 증명을 사용하여 계정 액세스를 유지하는 신호일 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

Stealth:IAMUser/LoggingConfigurationModified

보안 주체가 CloudTrail 로깅 중단, 기존 로그 삭제, AWS 계정 내 활동 흔적 제거에 일반적으로 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

이 결과는 의심스러운 상황에서 환경 내 AWS 계정의 로깅 구성이 수정될 때 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 행동을 보이고 있음을 알려줍니다. 이전에 간접적으로 호출한 적이 없는 StopLogging API의 간접 호출을 예로 들 수 있습니다. 이는 공격자가 활동 흔적을 제거함으로써 공격을 덮으려는 시도의 신호일 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

UnauthorizedAccess:IAMUser/ConsoleLogin

AWS 계정 내 보안 주체의 비정상적인 콘솔 로그인이 탐지되었습니다.

기본 심각도: 중간*

참고

이 결과의 기본 심각도는 중간입니다. 그러나 인스턴스에서 생성된 임시 AWS 보안 인증 정보를 사용하여 API가 간접적으로 호출되는 경우 결과의 심각도는 높음입니다.

의심스러운 상황에서 콘솔 로그인이 감지될 때 이 결과가 트리거됩니다. 예를 들어, 이러한 이전 작업 내역이 없는 보안 주체가 한 번도 사용하지 않은 클라이언트 또는 비정상적인 위치에서 ConsoleLogin API를 호출했습니다. 이는 도난당한 자격 증명이 AWS 계정 액세스를 얻는 데 사용 중이거나 유효한 사용자가 유효하지 않거나 안전도가 낮은 방법(예를 들어, 승인된 VPN을 통하지 않는 방법)으로 계정에 액세스하는 신호일 수 있습니다.

이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 행동을 보이고 있음을 알려줍니다. 이 보안 주체는 이 특정 위치에서 이 클라이언트 애플리케이션을 사용하여 로그인 활동을 한 이전 내역이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

UnauthorizedAccess:EC2/TorIPCaller

EC2 인스턴스가 Tor 출구 노드로부터 인바운드 연결을 수신하고 있습니다.

기본 심각도: 중간

이 결과는 AWS 환경의 EC2 인스턴스가 Tor 출구 노드로부터 인바운드 연결을 받는다는 것을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 신원을 숨기려는 의도를 갖고 AWS 리소스에 무단으로 액세스하려 함을 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스의 문제 해결 섹션을 참조하세요.

Backdoor:EC2/XORDDOS

EC2 인스턴스가 Xor DDos 맬웨어와 연관된 IP 주소와의 통신을 시도합니다.

기본 심각도: 높음

이 결과는 AWS 환경에 Xor DDos 맬웨어와 연관된 IP 주소와의 통신을 시도하는 EC2 인스턴스가 있음을 알립니다. 이 EC2 인스턴스는 손상되었을 수 있습니다. XOR DDoS는 Linux 시스템을 가로채는 트로이 목마 맬웨어입니다. 이 맬웨어는 시스템에 대한 액세스 권한을 얻기 위해 무차별 암호 대입 공격을 실행하여 Linux의 SSH(Secure Shell)에 대한 암호를 찾습니다. SSH 자격 증명을 획득하여 로그인에 성공한 이후 이 맬웨어는 루트 사용자 권한을 사용하여 XOR DDoS를 다운로드하고 설치하는 스크립트를 실행합니다. 그런 다음 봇넷의 일부로 사용되어 다른 대상에 대한 분산 서비스 거부 공격(DDoS)을 시작합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스의 문제 해결 섹션을 참조하세요.

Behavior:IAMUser/InstanceLaunchUnusual

사용자가 비정상적인 유형의 EC2 인스턴스를 시작했습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 특정 사용자가 설정된 기준과 다른 행동을 보이고 있음을 알려줍니다. 이 사용자에게는 이전에 이 유형의 EC2 인스턴스를 시작한 내역이 없습니다. 로그인 보안 인증 정보가 손상되었을 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.

CryptoCurrency:EC2/BitcoinTool.A

EC2 인스턴스가 비트코인 마이닝 풀과 통신하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 비트코인 채굴 풀과 통신함을 알려줍니다. 암호 화폐 마이닝 분야에서 마이닝 도구는 블록 해결에 기여한 작업량에 따라 보상을 분할하기 위해 네트워크를 통해 처리 능력을 공유하는 마이너별 리소스 풀링입니다. 비트코인 마이닝에 이 EC2 인스턴스를 사용하지 않는 경우 EC2 인스턴스가 손상되었을 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스의 문제 해결 섹션을 참조하세요.

UnauthorizedAccess:IAMUser/UnusualASNCaller

비정상 네트워크의 IP 주소에서 API가 호출되었습니다.

기본 심각도: 높음

이 조사 결과는 특정 활동이 비정상적인 네트워크의 IP 주소에서 호출되었다고 사용자에게 알립니다. 이 네트워크는 해당 사용자의 이전 AWS 사용 내역을 통해 관찰된 적이 없습니다. 이러한 활동 중에는 콘솔 로그인을 비롯해 EC2 인스턴스를 시작하거나, 새로운 IAM 사용자를 생성하거나, AWS 권한을 수정하려는 시도 등이 포함됩니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS 섹션을 참조하세요.