GuardDuty EC2 查找类型

以下调查发现专门针对 Amazon EC2 资源，以及始终具有 Instance 的资源类型。调查发现的严重性和详细信息因资源角色而异，指示 EC2 资源是可疑活动的目标还是执行活动的威胁行为者。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息，请参阅 基础数据来源。

注意

如果实例已经终止，或者底层 API 调用是跨区域 API 调用（源自不同区域的 EC2 实例）的一部分，则某些 EC2 调查发现可能缺失实例详细信息。

对于所有 EC2 调查发现，建议您检查相关资源以确定其行为是否符合预期。如果活动已获得授权，则可以使用抑制规则或可信 IP 列表，来防止该资源的误报通知。如果活动是意外活动，则安全的最佳实践是假定实例已被盗用，并执行 修复可能遭到入侵的 Amazon EC2 实例 中详述的操作。

Backdoor:EC2/C&CActivity.B

EC2 实例正在查询与已知命令和控制服务器关联的 IP。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的实例，正在查询与已知命令和控制（C&C）服务器关联的 IP。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到互联网的设备（其中可能包括 PC、服务器、移动设备和物联网设备）。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，命令和控制服务器也可以发布命令来启动分布式拒绝服务（DDoS）攻击。

注意

如果查询的 IP 与 log4j 相关，则相关调查发现的字段将包含以下值：

• 服务。附加信息。 threatListName = 亚马逊

• service.additionalInfo.threatName = Log4j Related

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/C&CActivity.B!DNS

EC2 实例正在查询与已知命令和控制服务器关联的域名。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的实例，正在查询与已知命令和控制（C&C）服务器关联的域名。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到互联网的设备（其中可能包括 PC、服务器、移动设备和物联网设备）。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，命令和控制服务器也可以发布命令来启动分布式拒绝服务（DDoS）攻击。

注意

如果查询的域名与 log4j 相关，则相关调查发现的字段将包含以下值：

• 服务。附加信息。 threatListName = 亚马逊

• service.additionalInfo.threatName = Log4j Related

注意

要测试如何 GuardDuty 生成此发现类型，您可以针对测试域从您的实例（使用dig适用于 Linux 或 nslookup Windows）发出 DNS 请求guarddutyc2activityb.com。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明该实例正被用于使用 DNS 协议执行拒绝服务（DoS）攻击。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在生成大量出站 DNS 流量。这可能表明列出的实例已遭到入侵，并被用来使用 DNS 协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击，这是 DoS 攻击的主要目标。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式表明该实例正被正用于使用 TCP 协议执行拒绝服务（DoS）攻击。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您的 AWS 环境中列出的 EC2 实例，正在生成大量出站 TCP 流量。这可能表明该实例已遭到入侵并被用来使用 TCP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击，这是 DoS 攻击的主要目标。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式表明该实例正被用于使用 UDP 协议执行拒绝服务（DoS）攻击。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在生成大量出站 UDP 流量。这可能表明列出的实例已遭到入侵，并被用来使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击，这是 DoS 攻击的主要目标。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明该实例正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务（DoS）攻击。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在生成大量出站 UDP 流量，该流量针对通常用于 TCP 通信的端口。这可能表明列出的实例已遭到入侵，并被用来在 TCP 端口上使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击，这是 DoS 攻击的主要目标。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明该实例正被用于使用不寻常协议执行拒绝服务（DoS）攻击。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例正在生成大量来自异常协议类型的出站流量，EC2 实例通常不会使用该协议类型，例如 Internet 组管理协议。这可能表明该实例已遭到入侵，并被用来使用异常协议执行 denial-of-service (DoS) 攻击。此调查发现仅针对公共路由 IP 地址检测 DoS 攻击，这是 DoS 攻击的主要目标。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Backdoor:EC2/Spambot

EC2 实例表现出不正常的行为，在端口 25 上与远程主机通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例在端口 25 上与远程主机通信。这是异常行为，因为此 EC2 实例以前没有在端口 25 上通信的历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。此调查结果表明 EC2 实例可能已遭盗用，并被用于发送垃圾邮件。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例表现出的行为，偏离了所建立的基准。此 EC2 实例以前没有在该远程端口上通信的历史记录。

注意

如果 EC2 实例通过端口 389 或端口 1389 进行通信，则关联的调查发现严重级别将修改为“高”，并且调查发现字段将包含以下值：

• service.additionalInfo.context = Possible log4j callback

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Behavior:EC2/TrafficVolumeUnusual

EC2 实例正在生成异常大量的网络流量到远程主机。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例表现出的行为，偏离了所建立的基准。此 EC2 实例以前没有发送这种大量流量到该远程主机的历史记录。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在查询与比特币或其他加密货币相关活动关联的 IP 地址。比特币是一种全球性的加密货币和数字支付系统，可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励，受到威胁行为者的高度追捧。

修复建议：

如果您使用此 EC2 实例挖掘或管理加密货币，或此实例涉及区块链活动，则该调查发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是实例的实例 ID，该实例涉及区块链活动。要了解有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的实例可能被盗用，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 实例正在查询与加密货币相关活动关联的域名。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在查询与比特币或其他加密货币相关活动关联的域名。比特币是一种全球性的加密货币和数字支付系统，可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励，受到威胁行为者的高度追捧。

修复建议：

如果您使用此 EC2 实例挖掘或管理加密货币，或此实例涉及区块链活动，则该调查发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是实例的实例 ID，该实例涉及区块链活动。要了解有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的实例可能被盗用，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

DefenseEvasion:EC2/UnusualDNSResolver

Amazon EC2 实例正在与异常的公有 DNS 解析器通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例表现出的行为，偏离了基准行为。此 EC2 实例最近没有与该公有 DNS 解析器通信的历史记录。 GuardDuty 控制台中查找详细信息面板中的 “异常” 字段可以提供有关所查询的 DNS 解析器的信息。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2 实例正在执行异常的 DNS over HTTPS（DoH）通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例表现出的行为，偏离了所建立的基准。此 EC2 实例没有任何与该公共 DoH 服务器进行 DNS over HTTPS（DoH）通信的最新历史记录。调查发现详细信息中的异常字段，可提供有关所查询的 DoH 服务器的信息。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2 实例正在执行异常的 DNS over TLS（DoT）通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例表现出的行为，偏离了所建立的基准。此 EC2 实例没有任何与该公共 DoT 服务器进行 DNS over TLS（DoT）通信的最新历史记录。调查发现详细信息面板中的异常字段，可提供有关所查询的 DoT 服务器的信息。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/AbusedDomainRequest.Reputation

EC2 实例正在查询与已知滥用域关联的低信誉域名。

默认严重级别：中

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例，正在查询与已知滥用域或滥用 IP 地址相关联的低信誉域。滥用域的示例：提供免费子域注册的顶级域名（TLD）和二级域名（2LD），以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域，因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发，因此列出的 Amazon EC2 实例可能会被盗用。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 实例正在查询与加密货币相关活动关联的低信誉域名。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例，正在查询与比特币或其他加密货币相关活动相关联的低信誉域名。比特币是一种全球性的加密货币和数字支付系统，可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励，受到威胁行为者的高度追捧。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

修复建议：

如果您使用此 EC2 实例挖掘或管理加密货币，或此实例涉及区块链活动，则该调查发现可能表示您环境的预期活动。如果您的 AWS 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是实例的实例 ID，该实例涉及区块链活动。要了解有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的实例可能被盗用，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 实例正在查询与已知恶意域关联的低信誉域。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例，正在查询与已知恶意域或恶意 IP 地址相关联的低信誉域。例如，域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域，如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/PortSweep

EC2 实例正在探测大量 IP 地址上的端口。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在探测大量公开可路由 IP 地址上的端口。此类活动通常用于查找易受攻击的主机。在 GuardDuty 控制台的查找详细信息面板中，仅显示最新的远程 IP 地址

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 实例正在查询低信誉域名，该域名由于过时或受欢迎程度低而具有可疑性。

默认严重级别：低

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 Amazon EC2 实例，正在查询疑似恶意的低信誉域名。我们注意到该域的特征与之前观察到的恶意域一致，但我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的，或者接收到的流量较少。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Impact:EC2/WinRMBruteForce

EC2 实例正在执行出站 Windows 远程管理暴力攻击。

默认严重级别：低*

注意

如果您的 EC2 实例是暴力攻击的目标，则此调查发现的严重级别为“低”。如果您的 EC2 实例是用于执行暴力攻击的攻击者，则此调查发现的严重级别为“高”。

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在执行 Windows 远程管理（WinRM）暴力攻击，目的是在基于 Windows 的系统上访问 Windows 远程管理服务。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Recon:EC2/PortProbeEMRUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护的 EMR 相关端口。

默认严重级别：高

• 数据来源：VPC 流日志

这一发现告诉您，列出的 EC2 实例上与EMR相关的敏感端口是AWS您环境中集群的一部分，未被安全组、访问控制列表 (ACL) 或主机上的防火墙（例如 Linux IPTables）阻止。这一发现还表明，Internet上的已知扫描仪正在积极探测此端口。可触发此调查发现的端口可能被用于远程代码执行，例如端口 8088（YARN Web UI 端口）。

修复建议：

您应阻止集群上的端口接受来自 Internet 的公开访问，并将访问限制为必须访问这些端口的特定 IP 地址。有关更多信息，请参阅 EMR 集群的安全组。

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

默认严重级别：低*

注意

此调查发现的默认严重级别为“低”。但是，如果 Elasticsearch 使用正在探测的端口（9200 或 9300），则发现的严重性为 “高”。

• 数据来源：VPC 流日志

此调查发现通知您，您的 AWS 环境中列出的 EC2 实例上的端口，未受到安全组、访问控制列表（ACL）或主机上防火墙（例如，Linux IPTables）的阻止，Internet 上的已知扫描程序正在积极地探测该端口。

如果确定的未受保护端口为 22 或 3389，并且您正在使用这些端口来连接到您的实例，则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址，从而限制暴露。要在 Linux 上限制对端口 22 的访问，请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问，请参阅为 Windows 实例授权入站流量。

GuardDuty 不会为端口 443 和 80 生成此结果。

修复建议：

这可能是有意暴露实例的情况，例如，在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的实例可能被盗用，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，参与到可能的端口扫描攻击中，因为此实例在短时间内尝试连接到多个端口。端口扫描攻击的目的是找出开放端口，用于发现机器运行何种服务以及确定其操作系统。

修复建议：

当漏洞评估应用程序部署在您环境中的 EC2 实例上时，此调查发现可能是误报的，因为这些应用程序会执行端口扫描，以提醒您注意错误配置的开放端口。如果您的 AWS 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的实例可能被盗用，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例可能被盗用，因为此实例正在与黑洞（或陷穴）的 IP 地址通信。黑洞是网络中的一些位置，在这些位置中会将传入或传出流量静默丢弃，而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/BlackholeTraffic!DNS

EC2 实例正在查询重定向到黑洞 IP 地址的域名。

默认严重级别：中

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例可能被盗用，因为此实例正在查询重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置，在这些位置中会将传入或传出流量静默丢弃，而不向源通知数据未达到源目标接收方。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DGADomainRequest.B

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用，并且可能表示 EC2 实例被盗用。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在尝试查询域生成算法（DGA）域。您的 EC2 实例可能被盗用。

DGA 用于定期生成大量的域名，可由其命令和控制（C&C）服务器用作汇聚点。命令和控制服务器是向僵尸网络的成员发布命令的计算机，僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在，使得有效关闭僵尸网络非常困难，因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这此调查发现基于使用高级探试程序的域名分析，可能会发现在威胁情报源中不存在的新 DGA 域。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DGADomainRequest.C!DNS

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用，并且可能表示 EC2 实例被盗用。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例，正在尝试查询域生成算法（DGA）域。您的 EC2 实例可能被盗用。

DGA 用于定期生成大量的域名，可由其命令和控制（C&C）服务器用作汇聚点。命令和控制服务器是向僵尸网络的成员发布命令的计算机，僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在，使得有效关闭僵尸网络非常困难，因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这一发现基于威胁情报源中已知 GuardDuty的DGA域名。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DNSDataExfiltration

EC2 实例通过 DNS 查询泄露数据。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例正在运行恶意软件，使用 DNS 查询用于出站数据传输。这种类型的数据传输表示实例已被盗用，并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。举例而言，遭盗用 EC2 实例中的恶意软件可以将数据（例如，您的信用卡号）编码到 DNS 查询中，并将其发送到由攻击者控制的远程 DNS 服务器。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 实例正在查询某个远程主机的域名，该远程主机是路过式下载攻击的已知来源。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中列出的 EC2 实例可能被盗用，因为此实例正在查询某个远程主机的域名，该远程主机是路过式下载攻击的已知来源。这些是来自 Internet 的恶意计算机软件下载，可能会触发自动安装病毒、间谍软件或恶意软件。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例正在尝试与某个远程主机的 IP 地址进行通信，该主机持有由恶意软件捕获的凭证和其他被盗数据。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/DropPoint!DNS

EC2 实例正在查询持有由恶意软件捕获的凭证和其他被盗数据的远程主机的域名。

默认严重级别：中

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中的 EC2 实例正在查询远程主机的域名，该主机持有由恶意软件捕获的凭证和其他被盗数据。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

Trojan:EC2/PhishingDomainRequest!DNS

EC2 实例正在查询涉及网络钓鱼攻击的域。您的 EC2 实例可能被盗用。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中的某个 EC2 实例，正在尝试查询参与网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置，其目的是引诱个人提供敏感数据，如个人可识别信息、银行和信用卡信息、密码等。您的 EC2 实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据，或者可能正在尝试设置网络钓鱼网站。您的 EC2 实例可能被盗用。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 实例正在与自定义威胁列表上的 IP 地址建立连接。

默认严重级别：中

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例，正在与您上传的威胁列表中的 IP 地址通信。在 GuardDuty 中，威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查发现的威胁列表将在调查发现的详细信息中列出。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 实例正在执行解析到实例元数据服务的 DNS 查找。

默认严重级别：高

• 数据来源：DNS 日志

此调查发现通知您，您 AWS 环境中的某个 EC2 实例，正在查询一个解析为 EC2 元数据 IP 地址（169.254.169.254）的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据，包括与该实例关联的 IAM 凭证。

DNS 重新绑定需要引诱在 EC2 实例上运行的应用程序，以加载从 URL 返回的数据，该 URL 中的域名解析到 EC2 元数据 IP 地址（169.254.169.254）。这会导致应用程序访问 EC2 元数据，并可能使其为攻击者所用。

如果该 EC2 实例正在运行允许注入 URL 的应用程序，且该应用程序存在漏洞；或者如果某用户在该 EC2 实例上运行的 Web 浏览器中，访问该 URL，则可以使用 DNS 重新绑定来访问 EC2 元数据。

修复建议：

为了解决此调查发现，您应该考虑 EC2 实例上是否运行有漏洞的应用程序，或者某用户是否使用浏览器来访问调查发现中识别的域。如果根本原因在于有漏洞的应用程序，您应该修复漏洞。如果是由于某用户已浏览识别的域，则应阻止该域或阻止用户进行访问。如果您确定调查发现属于以上任一种情况，则撤销与 EC2 实例相关联的会话。

某些 AWS 客户有意将元数据 IP 地址映射到其授权 DNS 服务器的域名。如果您的环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为 DNS 请求域，并且值应与已映射到元数据 IP 地址（169.254.169.254）的域匹配。有关创建隐藏规则的更多信息，请参阅抑制规则。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

默认严重级别：低*

注意

如果您的 EC2 实例是暴力攻击的目标，则此调查发现的严重级别为“低”。如果您的 EC2 实例是用于执行暴力攻击的攻击者，则此调查发现的严重级别为“高”。

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例参与到暴力攻击中，旨在获取基于 Windows 系统的 RDP 服务密码。这种情况可能表明有人未经授权访问您的 AWS 资源。

修复建议：

如果您实例的资源角色为 ACTOR，则表示实例已用于执行 RDP 暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址，否则建议您假定实例已被盗用，并执行 修复可能遭到入侵的 Amazon EC2 实例 中列出的操作。

如果您实例的资源角色为 TARGET，则可以通过安全组、ACL 或防火墙，将您的 RDP 端口限定为仅受信任的 IP，来纠正此调查发现。有关更多信息，请参阅有关保护您的 EC2 实例（Linux）的提示。

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例已涉及到 SSH 暴力攻击中。

默认严重级别：低*

注意

如果暴力攻击的目标是您的一个 EC2 实例，则此调查发现的严重程度较低。如果您的 EC2 实例用于执行暴力攻击，则此调查发现的严重程度为“高”。

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例涉及到暴力攻击中，旨在获取基于 Linux 系统的 SSH 服务密码。这种情况可能表明有人未经授权访问您的 AWS 资源。

注意

此调查发现仅通过在端口 22 上监控流量生成。如果 SSH 服务配置为使用其他端口，则不会生成此调查发现。

修复建议：

如果此次暴力攻击的目标是堡垒主机，这可能代表了 AWS 环境的预期行为。如果是这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性，具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息，请参阅 抑制规则。

如果您的环境不需要此活动，并且实例的资源角色为 TARGET，则可以通过安全组、ACL 或防火墙，将您的 SSH 端口限定为仅受信任的 IP，来纠正此调查发现。有关更多信息，请参阅有关保护您的 EC2 实例（Linux）的提示。

如果您实例的资源角色为 ACTOR，则表示该实例已用于执行 SSH 暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址，否则建议您假定实例已被盗用，并执行 修复可能遭到入侵的 Amazon EC2 实例 中列出的操作。

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例，正在连接到一个 Tor Guard 或 Authority 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能指示此 EC2 实例已被盗用，正充当 Tor 网络上的客户端。此调查发现可能指示有人未经授权访问您的 AWS 资源，并意图隐藏攻击者的真实身份。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。

默认严重级别：高

• 数据来源：VPC 流日志

此调查发现通知您，您 AWS 环境中的 EC2 实例，正在以一种暗示其充当 Tor 中继的方式与 Tor 网络建立连接。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继，来提高通信的匿名程度。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon EC2 实例。