Lambda 보호 결과 유형

이 섹션에서는 AWS Lambda 리소스에 고유하고 resourceType이 Lambda인 결과 유형에 대해 설명합니다. 모든 Lambda 결과의 경우 해당 리소스를 검토하고 예상대로 작동하는지 확인하는 것이 좋습니다. 활동이 승인된 경우 억제 규칙 또는 신뢰할 수 있는 IP 및 위협 목록을 사용하여 해당 리소스에 대한 오탐지 알림을 방지할 수 있습니다.

예상치 않은 활동인 경우 보안 모범 사례는 Lambda가 잠재적으로 침해되었다고 가정하고 해결 권장 사항을 따르는 것입니다.

Backdoor:Lambda/C&CActivity.B

Lambda 함수가 알려진 명령 및 제어 서버와 연결된 IP 주소를 쿼리하는 중입니다.

기본 심각도: 높음

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경 내에 알려진 명령 및 제어(C&C) 서버와 연결된 IP 주소를 쿼리하는 Lambda 함수가 있음을 알립니다. 생성된 결과와 관련된 Lambda 함수가 잠재적으로 침해되었습니다. C&C 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.

봇넷은 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스(PC, 서버, 모바일 디바이스 및 사물 인터넷 디바이스 포함)의 모음입니다. 일반적으로 봇넷은 맬웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 용도와 구조에 따라 C&C 서버가 분산 서비스 거부를 시작하는 명령을 실행할 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

CryptoCurrency:Lambda/BitcoinTool.B

Lambda 함수가 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하는 중입니다.

기본 심각도: 높음

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경에 비트코인 또는 기타 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하는 Lambda 함수가 있음을 알립니다. 위협 작업자는 악의적으로 승인되지 않은 암호화폐 채굴로 용도를 변경하기 위해 Lambda 함수를 제어하려고 할 수 있습니다.

해결 권장 사항:

이 Lambda 함수를 사용하여 암호화폐를 채굴 또는 관리하거나 이 함수가 블록체인 활동에 관여한 경우, 환경에 대한 예상된 활동일 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 CryptoCurrency:Lambda/BitcoinTool.B 값이 있는 결과 유형 속성을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동과 관련된 함수의 Lambda 함수 이름이어야 합니다. 억제 규칙 작성에 대한 내용은 억제 규칙을 참조하세요.

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

Trojan:Lambda/BlackholeTraffic

Lambda 함수가 블랙홀로 알려진 원격 호스트의 IP 주소와 통신을 시도합니다.

기본 심각도: 중간

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경 내에 나열된 Lambda 함수가 블랙홀(또는 싱크홀)의 IP 주소와 통신을 시도하고 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다. 블랙홀 IP 주소는 실행되고 있지 않은 호스트 머신 또는 호스트가 할당되지 않은 주소를 지정합니다. 나열된 Lambda 함수가 잠재적으로 손상되었습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

Trojan:Lambda/DropPoint

Lambda 함수가 맬웨어를 통해 캡처된 자격 증명 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하는 중입니다.

기본 심각도: 중간

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경 내에 나열된 Lambda 함수가 맬웨어를 통해 캡처된 보안 인증 정보 및 기타 도난 데이터를 보관하고 있는 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도 중임을 알립니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 함수가 사용자 지정 위협 목록에 있는 IP 주소에 연결하고 있습니다.

기본 심각도: 중간

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경의 Lambda 함수가 사용자가 업로드한 위협 목록에 포함된 IP 주소를 사용하여 통신 중임을 알려줍니다. GuardDuty에서 위협 목록은 알려진 악성 IP 주소로 구성됩니다. GuardDuty는 업로드된 위협 목록을 기반으로 결과를 생성합니다. GuardDuty 콘솔의 결과 세부 정보에서 위협 목록의 세부 정보를 볼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

UnauthorizedAccess:Lambda/TorClient

Lambda 함수가 Tor Guard 또는 Authority 노드에 연결됩니다.

기본 심각도: 높음

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경의 Lambda 함수가 Tor Guard 또는 Authority 노드에 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor Guards 및 Authority 노드는 Tor 네트워크의 첫 번째 게이트웨이 역할을 합니다. 이 트래픽은 이 Lambda 함수가 잠재적으로 손상되었음을 나타낼 수 있습니다. 이제 Tor 네트워크에서 클라이언트 역할을 하고 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.

UnauthorizedAccess:Lambda/TorRelay

Lambda 함수가 Tor 네트워크에 Tor 릴레이로 연결됩니다.

기본 심각도: 높음

• 특성: Lambda 네트워크 활동 모니터링

이 결과는 AWS 환경의 Lambda 함수가 Tor 네트워크에 Tor 릴레이 역할을 수행하는 방식으로 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor는 한 Tor 릴레이에서 다른 릴레이로 클라이언트의 불법 가능성이 있는 트래픽을 전달함으로써 익명 통신을 가능하게 합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 Lambda 함수가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Lambda 함수 수정 섹션을 참조하세요.