GuardDuty Tipos de descoberta do EC2 - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Tipos de descoberta do EC2

As descobertas a seguir são específicas dos recursos do Amazon EC2 e sempre têm um tipo de recurso Instance. A gravidade e os detalhes das descobertas serão diferentes com base na função de recurso, que indicará se a instância do EC2 foi alvo de atividade suspeita ou o agente que executou a atividade.

As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações sobre modelos e fontes de dados, consulte Fontes de dados fundamentais.

nota

Os detalhes da instância podem estar ausentes em algumas descobertas do EC2 ela já tiver sido encerrada ou se a chamada de API subjacente fizer parte de uma chamada de API entre regiões originada de uma instância do EC2 em uma região diferente.

Para todas as descobertas do EC2, recomenda-se examinar o recurso em questão para determinar se ele está se comportando da maneira esperada. Se a atividade for autorizada, você poderá usar regras de supressão ou listas de IP confiáveis para evitar notificações de falsos positivos para esse recurso. Se a atividade for inesperada, a melhor prática de segurança será presumir que a instância foi comprometida e executar as ações detalhadas em Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/C&CActivity.B

A instância do EC2 está consultando um IP associado a um servidor de controle e comando conhecido.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância listada em seu ambiente da AWS está consultando um IP associado a um servidor de comando e controle (C&C) conhecido. A instância listada pode estar comprometida. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet, que podem incluir PCs, servidores, dispositivos móveis e dispositivos de Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque de negação distribuída de serviço DDoS.

nota

Se o IP consultado estiver relacionado ao log4j, os campos da descoberta associada incluirão estes valores:

  • Serviço. Informações adicionais. threatListName = Amazon

  • service.additionalInfo.threatName = relacionado ao Log4j

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/C&CActivity.B!DNS

A instância do EC2 está consultando um nome de domínio associado a um servidor de controle e comando conhecido.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância listada em seu ambiente da AWS está consultando um nome de domínio associado a um servidor de comando e controle (C&C) conhecido. A instância listada pode estar comprometida. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet, que podem incluir PCs, servidores, dispositivos móveis e dispositivos de Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque de negação distribuída de serviço DDoS.

nota

Se o nome de domínio consultado estiver relacionado ao log4j, os campos da descoberta associada incluirão os seguintes valores:

  • Serviço. Informações adicionais. threatListName = Amazon

  • service.additionalInfo.threatName = relacionado ao Log4j

nota

Para testar como GuardDuty gera esse tipo de descoberta, você pode fazer uma solicitação de DNS da sua instância (usando dig para Linux ou nslookup Windows) em um domínio guarddutyc2activityb.com de teste.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/DenialOfService.Dns

Uma instância do EC2 está se comportando de uma forma que pode indicar que está sendo usada para executar um ataque de negação de serviço (DoS) usando o protocolo DNS.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está gerando um grande volume de tráfego DNS de saída. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o protocolo DNS.

nota

Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/DenialOfService.Tcp

Uma instância do EC2 está se comportando de uma forma que indica que ela está sendo usada para executar um ataque de negação de serviço (DoS – Denial of Service) usando o protocolo TCP.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está gerando um grande volume de tráfego TCP de saída. Isso pode indicar que a instância está comprometida e sendo usada para realizar ataques denial-of-service (DoS) usando o protocolo TCP.

nota

Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/DenialOfService.Udp

Uma instância do EC2 está se comportando de uma forma que indica que ela está sendo usada para executar um ataque de negação de serviço (DoS) usando o protocolo UDP.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está gerando um grande volume de tráfego UDP de saída. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o protocolo UDP.

nota

Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Uma instância do EC2 está se comportando de uma forma que pode indicar que está sendo usada para executar um ataque de negação de serviço (DoS) usando o protocolo UDP em uma porta TCP.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está gerando um grande volume de tráfego UDP de saída direcionado a uma porta que normalmente é usada para comunicação TCP. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o protocolo UDP em uma porta TCP.

nota

Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/DenialOfService.UnusualProtocol

Uma instância do EC2 está se comportando de uma forma que pode indicar que está sendo usada para executar um ataque de negação de serviço (DoS) usando um protocolo incomum.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada no seu ambiente da AWS está gerando um grande volume de tráfego de saída de um tipo de protocolo incomum que não é normalmente usado por instâncias do EC2, como Internet Group Management Protocol. Isso pode indicar que a instância está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando um protocolo incomum. Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Backdoor:EC2/Spambot

A instância do EC2 está exibindo um comportamento incomum ao se comunicar com um host remoto na porta 25.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está se comunicando com um host remoto na porta 25. Esse comportamento é incomum, pois essa instância do EC2 não possui histórico prévio de comunicações com a porta 25. A porta 25 é tradicionalmente usada por servidores de e-mail para comunicações SMTP. Essa descoberta indica que a instância do EC2 pode estar comprometida para uso no envio de spam.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Behavior:EC2/NetworkPortUnusual

Uma instância do EC2 está se comunicando com um host remoto em uma porta de servidor incomum.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está se comportando de uma forma que se desvia da linha de base estabelecida. Essa instância do EC2 não possui histórico prévio de comunicações com essa porta remota.

nota

Se a instância do EC2 se comunicar na porta 389 ou na porta 1389, a gravidade da descoberta associada será modificada para Alta e os campos de descoberta incluirão o seguinte valor:

  • service.additionalInfo.context = possível retorno de chamada ao log4j

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Behavior:EC2/TrafficVolumeUnusual

A instância do EC2 está gerando quantidades grandes incomuns de tráfego de rede para um host remoto.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está se comportando de uma forma que se desvia da linha de base estabelecida. Esta instância do EC2 não tem histórico prévio de enviar tráfego assim para esse host remoto.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

CryptoCurrency:EC2/BitcoinTool.B

Uma instância do EC2 está consultando um endereço IP associado à atividade relacionada à criptomoeda.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está consultando um endereço IP associado ao Bitcoin ou a outras atividades relacionadas a criptomoedas. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Recomendações de correção:

Se você usar essa instância do EC2 para minerar ou gerenciar criptomoeda ou se essa instância estiver envolvida de outra forma na atividade de blockchain, essa descoberta poderia representar a atividade esperada para o ambiente. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:EC2/BitcoinTool.B. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Uma instância do EC2 está consultando um nome de domínio associado à atividade relacionada à criptomoeda.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está consultando um nome de domínio associado ao Bitcoin ou a outras atividades relacionadas a criptomoedas. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Recomendações de correção:

Se você usar essa instância do EC2 para minerar ou gerenciar criptomoeda ou se essa instância estiver envolvida de outra forma na atividade de blockchain, essa descoberta poderia representar a atividade esperada para o ambiente. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:EC2/BitcoinTool.B!DNS. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

DefenseEvasion:EC2/UnusualDNSResolver

Uma instância do Amazon EC2 está se comunicando com um resolvedor de DNS público incomum.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está se comportando de uma forma que se desvia do comportamento da linha de base. Essa instância do EC2 não tem histórico recente de comunicação com esse resolvedor de DNS público. O campo Incomum no painel de detalhes da descoberta no GuardDuty console pode fornecer informações sobre o resolvedor de DNS consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

DefenseEvasion:EC2/UnusualDoHActivity

Uma instância do Amazon EC2 está executando uma comunicação incomum de DNS sobre HTTPS (DoH).

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está se comportando de uma forma que se desvia da linha de base estabelecida. Essa instância do EC2 não tem histórico recente de comunicações de DNS sobre HTTPS (DoH) com esse servidor público do DoH. Nos detalhes da descoberta, o campo Incomum pode fornecer informações sobre o servidor DoH consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

DefenseEvasion:EC2/UnusualDoTActivity

Uma instância do Amazon EC2 está executando uma comunicação incomum de DNS sobre TLS (DoT).

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está se comportando de uma forma que se desvia da linha de base estabelecida. Essa instância do EC2 não tem histórico recente de comunicações de DNS sobre TLS (DoT) com esse servidor DoT público. No painel de detalhes da descoberta, o campo Incomum pode fornecer informações sobre o servidor DoT consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/AbusedDomainRequest.Reputation

Uma instância do EC2 está consultando um nome de domínio com baixa reputação associado a domínios conhecidos que permitem abusos.

Gravidade padrão: média

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP de abuso conhecidos. Exemplos de domínios abusados são nomes de domínio de nível superior (TLDs) e nomes de domínio de segundo nível (2LDs) que fornecem registros gratuitos de subdomínios, bem como provedores de DNS dinâmicos. Os agentes de ameaças tendem a usar esses serviços para registrar domínios gratuitamente ou a baixo custo. Os domínios de baixa reputação nessa categoria também podem ser domínios expirados que se resolvem para o endereço IP estacionário de um registrador e, portanto, podem não estar mais ativas. Um IP de estacionamento é onde um registrador direciona o tráfego para domínios que não foram vinculados a nenhum serviço. É possível que a instância listada do Amazon EC2 esteja comprometida, pois os agentes de ameaças geralmente usam esses registradores ou serviços para C&C e distribuição de malware.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/BitcoinDomainRequest.Reputation

Uma instância do EC2 está consultando um nome de domínio associado à atividade relacionada à criptomoeda.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está consultando um nome de domínio de baixa reputação associado ao Bitcoin ou a outras atividades relacionadas a criptomoedas. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se você usar essa instância do EC2 para minerar ou gerenciar criptomoeda ou se essa instância estiver envolvida de outra forma na atividade de blockchain, essa descoberta poderia representar a atividade esperada para o ambiente. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Impact:EC2/BitcoinDomainRequest.Reputation. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/MaliciousDomainRequest.Reputation

Uma instância do EC2 está consultando um domínio de baixa reputação associado a domínios mal-intencionados conhecidos.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP mal-intencionados conhecidos. Por exemplo, os domínios podem estar associados a um endereço IP sumidouro conhecido. Domínios sinkholed são domínios que antes eram controlados por um agente de ameaças, e as solicitações feitas a eles podem indicar que a instância está comprometida. Esses domínios também podem estar correlacionados com campanhas mal-intencionadas conhecidas ou algoritmos de geração de domínio.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/PortSweep

Uma instância do EC2 está testando uma porta em um muitos endereços IP.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está testando uma porta em um grande número de endereços IP roteáveis publicamente. Esse tipo de atividade geralmente é usado para encontrar hospedeiros vulneráveis para serem explorados. No painel de detalhes de busca em seu GuardDuty console, somente o endereço IP remoto mais recente é exibido

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/SuspiciousDomainRequest.Reputation

Uma instância do EC2 está consultando um nome de domínio com baixa reputação que é suspeito por natureza devido à sua idade ou baixa popularidade.

Gravidade padrão: baixa

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do Amazon EC2 listada em seu ambiente da AWS está consultando um nome de domínio com baixa reputação que é suspeito de ser mal-intencionado. Foram percebidas características desse domínio que eram consistentes com domínios mal-intencionados observados anteriormente. No entanto, nosso modelo de reputação não conseguiu relacioná-lo definitivamente a uma ameaça conhecida. Esses domínios geralmente são observados recentemente ou recebem uma quantidade baixa de tráfego.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Impact:EC2/WinRMBruteForce

Uma instância do EC2 está executando um ataque de força bruta de saída do Gerenciamento Remoto do Windows.

Gravidade padrão: baixa*

nota

A gravidade dessa descoberta é baixa se a instância do EC2 foi o alvo de um ataque de força bruta. A gravidade dessa descoberta será alta se sua instância do EC2 for o agente que está sendo usado para executar o ataque de força bruta.

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está executando um ataque de força bruta do Gerenciamento Remoto do Windows (WinRM) com o objetivo de obter acesso ao serviço de Gerenciamento Remoto do Windows em sistemas baseados em Windows.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Recon:EC2/PortProbeEMRUnprotectedPort

Uma instância do EC2 tem uma porta relacionada ao EMR desprotegida que está sendo testada por um host mal-intencionado conhecido.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma porta confidencial relacionada ao EMR na instância EC2 listada que faz parte de um cluster em AWS seu ambiente não está bloqueada por um grupo de segurança, uma lista de controle de acesso (ACL) ou um firewall no host, como Linux IPTables. Essa descoberta também informa que scanners conhecidos na Internet estão investigando ativamente essa porta. Portas que podem acionar essa descoberta, como a porta 8088 (porta da IU da Web do YARN), possivelmente podem ser usadas para execução de código remoto.

Recomendações de correção:

Você deve bloquear o acesso a portas abertas nos clusters pela Internet e restringir o acesso apenas a endereços IP específicos que exigem acesso a essas portas. Para obter mais informações, consulte Grupos de segurança para a clusters do EMR.

Recon:EC2/PortProbeUnprotectedPort

Uma instância do EC2 tem uma porta desprotegida que está sendo testada por um host mal-intencionado conhecido.

Gravidade padrão: baixa*

nota

A gravidade padrão dessa descoberta é baixa. No entanto, se a porta que está sendo testada for usada pelo Elasticsearch (9200 ou 9300), a gravidade da descoberta será alta.

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma porta na instância do EC2 listada em seu ambiente da AWS não está bloqueada por um grupo de segurança, uma lista de controle de acesso (ACL) ou um firewall no host, como o IPTables do Linux, e que scanners conhecidos na Internet estão sondando-a ativamente.

Se a porta desprotegida identificada for 22 ou 3389 e você estiver usando essas portas para se conectar à instância, ainda será possível limitar a exposição permitindo o acesso a essas portas somente aos endereços IP do espaço de endereços IP da rede corporativa. Para restringir o acesso à porta 22 no Linux, consulte Autorizar o tráfego de entrada para suas instâncias do Linux. Para restringir o acesso à porta 3389 no Windows, consulte Autorizar o tráfego de entrada para suas instâncias do Windows.

GuardDuty não gera essa descoberta para as portas 443 e 80.

Recomendações de correção:

Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Recon:EC2/Portscan

Uma instância do EC2 está executando verificações de portas de saída para um host remoto.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está envolvida em um possível ataque de varredura de porta porque está tentando se conectar a várias portas em um curto período de tempo. O objetivo de um ataque de verificação de porta é localizar portas abertas para descobrir quais serviços a máquina está executando e identificar o sistema operacional dela.

Recomendações de correção:

Essa descoberta pode ser um falso positivo quando aplicativas de avaliação de vulnerabilidade são implantados em instâncias do EC2 no ambiente, pois esses aplicativas realizam verificações de portas para alertar sobre portas abertas configuradas incorretamente. Se esse for o caso em seu ambiente da AWS, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/BlackholeTraffic

Uma instância do EC2 está tentando se comunicar com um endereço IP de um host remoto que é um buraco negro conhecido.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS pode estar comprometida porque está tentando se comunicar com um endereço IP de um buraco negro (ou sumidouro). Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido. Um endereço IP de buraco negro especifica uma máquina host que não está sendo executada ou um endereço para o qual nenhum host foi atribuído.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/BlackholeTraffic!DNS

Uma instância do EC2 está consultando um nome de domínio que está sendo redirecionado para o endereço IP de um buraco negro.

Gravidade padrão: média

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS pode estar comprometida porque está consultando um nome de domínio que está sendo redirecionado para um endereço IP de buraco negro. Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DGADomainRequest.B

Uma instância do EC2 está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser um indicativo de uma instância do EC2 comprometida.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do EC2 listada no seu ambiente da AWS está tentando consultar domínios do algoritmo de geração de domínio (DGA). Sua instância do EC2 pode estar comprometida.

Os DGAs são usados ​​para gerar uma grande quantidade de nomes de domínio periodicamente que podem ser usados ​​como pontos de encontro com seus servidores de comando e controle (C&C). Os servidores de comando e controle são computadores que emitem comandos para membros de um botnet, ou seja, uma coleção de dispositivos conectados à Internet infectados e controlados por um tipo comum de malware. O grande número de pontos de encontro potenciais dificulta o encerramento efetivo dos botnets, uma vez que os computadores infectados tentam entrar em contato com alguns desses nomes de domínio todos os dias para receber atualizações ou comandos.

nota

Essa descoberta é baseada na análise de nomes de domínio usando heurística avançada e pode identificar novos domínios de DGA que não estão presentes em feeds de inteligência contra ameaças.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DGADomainRequest.C!DNS

Uma instância do EC2 está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser um indicativo de uma instância do EC2 comprometida.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do EC2 listada no seu ambiente da AWS está tentando consultar domínios do algoritmo de geração de domínio (DGA). Sua instância do EC2 pode estar comprometida.

Os DGAs são usados ​​para gerar uma grande quantidade de nomes de domínio periodicamente que podem ser usados ​​como pontos de encontro com seus servidores de comando e controle (C&C). Os servidores de comando e controle são computadores que emitem comandos para membros de um botnet, ou seja, uma coleção de dispositivos conectados à Internet infectados e controlados por um tipo comum de malware. O grande número de pontos de encontro potenciais dificulta o encerramento efetivo dos botnets, uma vez que os computadores infectados tentam entrar em contato com alguns desses nomes de domínio todos os dias para receber atualizações ou comandos.

nota

Essa descoberta é baseada em domínios DGA conhecidos dos feeds de inteligência de ameaças GuardDuty da.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DNSDataExfiltration

Uma instância do EC2 está exfiltrando dados por meio de consultas DNS.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que a instância do EC2 listada em seu ambiente da AWS está executando um malware que usa consultas ao DNS para transferências de dados de saída. Esse tipo de transferência de dados é indicativo de uma instância comprometida e pode resultar na exfiltração de dados. Normalmente, o tráfego de DNS não é bloqueado por firewalls. Por exemplo, o malware em uma instância do EC2 comprometida pode codificar dados (ex.: seu número de cartão de crédito) em uma consulta DNS e enviá-los para um servidor DNS remoto controlado por um invasor.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DriveBySourceTraffic!DNS

Uma instância do EC2 está consultando um nome de domínio de um host remoto que é uma fonte conhecida de ataques Drive-by download.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa a você que uma instância do EC2 em seu ambiente da AWS pode estar comprometida porque está consultando um nome de domínio de um host remoto que é uma fonte conhecida de ataques Drive-by download. Estes são downloads indesejados de software de computador da Internet que podem acionar uma instalação automática de vírus, spyware ou malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DropPoint

Uma instância do EC2 está tentando se comunicar com um endereço IP de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 em seu ambiente da AWS está tentando se comunicar com um endereço IP de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/DropPoint!DNS

Uma instância do EC2 está consultando um nome de domínio de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

  • Fonte de dados: logs de DNS

Essa descoberta informa a você que uma instância do EC2 em seu ambiente da AWS está consultando um nome de domínio de um host remoto que é conhecido por manter credenciais e outros dados roubados capturados por malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

Trojan:EC2/PhishingDomainRequest!DNS

Uma instância do EC2 está consultando domínios envolvidos em ataques de phishing. Sua instância do EC2 pode estar comprometida.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que existe uma instância do EC2 no seu ambiente da AWS que está tentando consultar um domínio envolvido em ataques de phishing. Domínios de phishing são configuradas por alguém se passando por uma instituição legítima para induzir indivíduos a fornecerem dados confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito, e senhas. Sua instância do EC2 pode estar tentando recuperar dados confidenciais armazenados em um site de phishing ou configurar um site de phishing. Sua instância do EC2 pode estar comprometida.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Uma instância do EC2 está fazendo conexões com um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 em seu ambiente da AWS está se comunicando com um endereço IP incluído em uma lista de ameaças que você carregou. Em GuardDuty, uma lista de ameaças consiste em endereços IP maliciosos conhecidos. GuardDuty gera descobertas com base em listas de ameaças enviadas. A lista de ameaças usada para gerar essa descoberta será listada nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

UnauthorizedAccess:EC2/MetadataDNSRebind

Uma instância do EC2 está executando pesquisas de DNS que são resolvidas como o serviço de metadados da instância.

Gravidade padrão: alta

  • Fonte de dados: logs de DNS

Essa descoberta informa que uma instância do EC2 no seu ambiente da AWS está consultando um domínio que é resolvido como o endereço IP dos metadados do EC2 (169.254.169.254). Uma consulta ao DNS desse tipo pode indicar que a instância é alvo de uma técnica de revinculação de DNS. Essa técnica pode ser usada para obter metadados de uma instância do EC2, incluindo as credenciais do IAM associadas à instância.

A revinculação de DNS envolve enganar um aplicativo em execução na instância do EC2 para carregar dados de retorno de um URL, onde o nome de domínio no URL é resolvido como o endereço IP de metadados do EC2 (169.254.169.254). Isso faz com que o aplicativo acesse metadados do EC2 e possivelmente os disponibilize para o invasor.

É possível acessar metadados do EC2 usando a revinculação de DNS somente se a instância do EC2 estiver executando um aplicativo vulnerável que permita a injeção de URLs ou se um usuário humano acessar a URL em um navegador da web em execução na instância do EC2.

Recomendações de correção:

Em resposta a essa descoberta, você deve avaliar se há um aplicativo vulnerável em execução na instância do EC2 ou se um usuário humano usou um navegador para acessar o domínio identificado na descoberta. Se a causa raiz for um aplicativo vulnerável, você deverá corrigir a vulnerabilidade. Se alguém navegou pelo domínio identificado, você deve bloquear o domínio ou evitar que os usuários o acessem. Se você determinar que essa descoberta estava relacionada a qualquer um dos casos acima, deverá revogar a sessão associada à instância do EC2.

Alguns clientes da AWS mapeiam intencionalmente o endereço IP dos metadados para um nome de domínio em seus servidores DNS autoritativas. Se esse for o caso em seu ambiente da , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/MetaDataDNSRebind. O segundo critério de filtro deve ser o domínio de solicitação de DNS e o valor deve corresponder ao domínio mapeado para o endereço IP de metadados (169.254.169.254). Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão.

UnauthorizedAccess:EC2/RDPBruteForce

Uma instância do EC2 esteve envolvida em ataques de força bruta do RDP.

Gravidade padrão: baixa*

nota

A gravidade dessa descoberta é baixa se a instância do EC2 foi o alvo de um ataque de força bruta. A gravidade dessa descoberta será alta se sua instância do EC2 for o agente que está sendo usado para executar o ataque de força bruta.

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 no seu ambiente da AWS esteve envolvida em um ataque de força bruta destinado a obter senhas para serviços de RDP em sistemas baseados no Windows. Isso pode indicar acesso não autorizado aos seus recursos da AWS.

Recomendações de correção:

Se a Função do recurso da instância é ACTOR, isso indica que a instância foi usada para executar ataques de força bruta RDP. A menos que essa instância tenha um motivo legítimo para entrar em contato com o endereço IP listado como o Target, é recomendável que você presuma que a instância foi comprometida e execute as ações listadas em Correção de uma instância potencialmente comprometida do Amazon EC2.

Se a Função do recurso da instância é TARGET, essa descoberta pode ser corrigida protegendo a porta RDP somente para IPs confiáveis por meio de grupos de segurança, ACLs ou firewalls. Para obter mais informações, consulte Dicas para proteger suas instâncias do EC2 (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Uma instância do EC2 esteve envolvida em ataques de força bruta do SSH.

Gravidade padrão: baixa*

nota

A gravidade dessa descoberta será baixa se um ataque de força bruta for destinado a uma de suas instâncias do EC2. A gravidade dessa descoberta será alta se sua instância do EC2 estiver sendo usada para executar o ataque de força bruta.

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 no seu ambiente da AWS estava envolvida em um ataque de força bruta destinado a obter senhas para serviços de SSH em sistemas baseados no Linux. Isso pode indicar acesso não autorizado aos seus recursos da AWS.

nota

Essa descoberta é gerada apenas por meio do monitoramento de tráfego do na porta 22. Se os serviços SSH estiverem configurados para usar outras portas, essa descoberta não será gerada.

Recomendações de correção:

Se o alvo da tentativa de força bruta for um bastion host, isso pode representar um comportamento esperado para o ambiente da AWS. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão.

Se essa atividade não for esperada para o ambiente e a Função do recurso da instância for TARGET, essa descoberta poderá ser corrigida protegendo a porta SSH somente para IPs confiáveis por meio de grupos de segurança, ACLs ou firewalls. Para obter mais informações, consulte Dicas para proteger sua instância do EC2.

Se a Função do recurso da instância for ACTOR isso indicará que a instância foi usada para executar ataques de força bruta do SSH. A menos que essa instância tenha um motivo legítimo para entrar em contato com o endereço IP listado como o Target, é recomendável que você presuma que a instância foi comprometida e execute as ações listadas em Correção de uma instância potencialmente comprometida do Amazon EC2.

UnauthorizedAccess:EC2/TorClient

A instância do EC2 está fazendo conexões com um Tor Guard ou um nó de autoridade.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 em seu ambiente da AWS está fazendo conexões com um Tor Guard ou um nó de autoridade. Tor é um software para permitir a comunicação anônima. Tor Guards ou nós de autoridade atuam como gateways iniciais em uma rede do Tor. Esse tráfego pode indicar que a instância do EC2 foi comprometida está atuando como um cliente em uma rede do Tor. Essa descoberta pode indicar acesso não autorizado aos seus recursos da AWS com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

UnauthorizedAccess:EC2/TorRelay

A instância do EC2 está fazendo conexões com uma rede do Tor como uma retransmissão Tor.

Gravidade padrão: alta

  • Fonte de dados: logs de fluxo da VPC

Essa descoberta informa que uma instância do EC2 em seu ambiente da AWS está fazendo conexões com uma rede do Tor de uma maneira que sugere que ela esteja atuando como uma retransmissão Tor. Tor é um software para permitir a comunicação anônima. Retransmissões Tor aumentam o anonimato da comunicação encaminhando o tráfego possivelmente ilícito do cliente de uma retransmissão Tor para outra.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para ter mais informações, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.