GuardDuty EC2 调查发现类型 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty EC2 调查发现类型

以下发现特定于 Amazon EC2 资源,其资源类型始终为Instance。调查结果的严重程度和细节因资源角色而异,资源角色表示EC2资源是可疑活动的目标还是执行活动的行为者。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 GuardDuty 基础数据来源

注意
  • EC2如果实例已经终止,或者底层API调用来自不同地区的实例,则可能缺少查找的EC2实例详细信息。

  • EC2使用VPC流日志作为数据源的发现不支持IPv6流量。

对于所有EC2发现,建议您检查相关资源,以确定其行为是否符合预期。如果活动已获得授权,则可以使用抑制规则或可信 IP 列表,来防止该资源的误报通知。如果活动是意外活动,则安全的最佳实践是假定实例已被盗用,并执行 修复可能失陷的 Amazon EC2 实例 中详述的操作。

Backdoor:EC2/C&CActivity.B

一个EC2实例正在查询与已知命令和控制服务器关联的 IP。

默认严重级别:高

  • 数据源:VPC流日志

此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的 IP。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是一组联网的设备,其中可能包括服务器PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 () DDoS 攻击。

注意

如果查询的 IP 与 log4j 相关,则相关调查发现的字段将包含以下值:

  • 服务。 additionalInfo。 threatListName = 亚马逊

  • 服务。 additionalInfo。 threatName = Log4j 相关

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/C&CActivity.B!DNS

一个EC2实例正在查询与已知命令和控制服务器关联的域名。

默认严重级别:高

  • 数据源:DNS日志

此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的域名。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是一组联网的设备,其中可能包括服务器PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 () DDoS 攻击。

注意

如果查询的域名与 log4j 相关,则相关调查发现的字段将包含以下值:

  • 服务。 additionalInfo。 threatListName = 亚马逊

  • 服务。 additionalInfo。 threatName = Log4j 相关

注意

要测试如何 GuardDuty 生成此查找类型,您可以从您的实例(用dig于 Linux 或 Window nslookup s)向测试域DNS发出请求guarddutyc2activityb.com

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Dns

EC2实例的行为方式可能表明它正被用来使用该DNS协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在生成大量出站DNS流量。这可能表明列出的实例已遭到入侵,并被用来使用DNS协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Tcp

EC2实例的行为方式表明它正被用来使用该TCP协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在生成大量出站TCP流量。这可能表明该实例已遭到入侵并被用来使用TCP协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Udp

EC2实例的行为方式表明它正被用来使用该UDP协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在生成大量出站UDP流量。这可能表明列出的实例已遭到入侵,并被用来使用UDP协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2实例的行为方式可能表明它正被用来在TCP端口上使用UDP协议进行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在生成大量针对通常用于TCP通信的端口的出站UDP流量。这可能表明列出的实例已遭到入侵,并被用来使用TCP端口上的UDP协议执行 denial-of-service (DoS) 攻击。

注意

此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2实例的行为方式可能表明它正被用来使用异常协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在从EC2实例通常不使用的异常协议类型(例如 Internet 组管理协议)生成大量出站流量。这可能表明该实例已遭到入侵,并被用来使用异常协议执行 denial-of-service (DoS) 攻击。此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Backdoor:EC2/Spambot

一个EC2实例通过端口 25 与远程主机通信,表现出异常行为。

默认严重级别:中

  • 数据源:VPC流日志

此发现告诉您,您的 AWS 环境中列出的EC2实例正在通过端口 25 与远程主机通信。这种行为不寻常,因为此EC2实例之前没有端口 25 上的通信历史记录。传统上,邮件服务器使用端口 25 进行SMTP通信。这一发现表明,您的EC2实例可能因用于发送垃圾邮件而遭到入侵。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Behavior:EC2/NetworkPortUnusual

一个EC2实例正在通过异常的服务器端口与远程主机通信。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例的行为方式偏离了既定基准。此EC2实例在此远程端口上没有以前的通信历史记录。

注意

如果EC2实例通过端口 389 或端口 1389 进行通信,则关联的查找结果严重性将修改为 “高”,并且查找字段将包含以下值:

  • 服务。 additionalInfo.context = 可能的 log4j 回调

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Behavior:EC2/TrafficVolumeUnusual

一个EC2实例正在向远程主机生成异常大的网络流量。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例的行为方式偏离了既定基准。此EC2实例以前没有向该远程主机发送这么多流量的历史记录。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

CryptoCurrency:EC2/BitcoinTool.B

一个EC2实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在查询与比特币或其他加密货币相关活动关联的 IP 地址。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。

修复建议:

如果您使用此EC2实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则该发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能失陷的 Amazon EC2 实例

CryptoCurrency:EC2/BitcoinTool.B!DNS

一个EC2实例正在查询与加密货币相关活动关联的域名。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在查询与比特币或其他加密货币相关活动关联的域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。

修复建议:

如果您使用此EC2实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则该发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能失陷的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDNSResolver

一个 Amazon EC2 实例正在与一个不寻常的公共DNS解析器通信。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的 Amazon EC2 实例的行为方式与基准行为有所不同。此EC2实例最近没有与该公共DNS解析器通信的历史。 GuardDuty 控制台中查找结果详细信息面板中的 “异常” 字段可以提供有关所查询的DNS解析器的信息。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2 实例正在执行异常的 Ov DNS er HTTPS (DoH) 通信。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的 Amazon EC2 实例的行为方式偏离了既定基准。此EC2实例最近没有与该公共卫生部服务器进行DNS过HTTPS度 (DoH) 通信的历史记录。调查发现详细信息中的异常字段,可提供有关所查询的 DoH 服务器的信息。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2 实例正在执行异常的 Ov DNS er TLS (DoT) 通信。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例的行为方式偏离了既定基准。此EC2实例最近没有任何与该公共交通部服务器进行DNS过TLS度(DoT)通信的历史记录。调查发现详细信息面板中的异常字段,可提供有关所查询的 DoT 服务器的信息。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/AbusedDomainRequest.Reputation

一个EC2实例正在查询与已知滥用域名关联的低信誉域名。

默认严重级别:中

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的亚马逊EC2实例正在查询与已知的滥用域或 IP 地址关联的低信誉域名。滥用域名的例子包括提供免费子域名注册的顶级域名 (TLDsLDs) 和二级域名 (2) 以及动态提供商。DNS威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域,因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行C&C和恶意软件分发,因此列出的Amazon EC2 实例可能会遭到入侵。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/BitcoinDomainRequest.Reputation

一个EC2实例正在查询与加密货币相关活动关联的低信誉域名。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的Amazon EC2 实例正在查询与比特币或其他加密货币相关活动相关的低信誉域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。

修复建议:

如果您使用此EC2实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能代表您的环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/MaliciousDomainRequest.Reputation

一个EC2实例正在查询与已知恶意域关联的低信誉域。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的亚马逊EC2实例正在查询与已知恶意域或 IP 地址关联的低信誉域名。例如,域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域,如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/PortSweep

一个EC2实例正在探测大量 IP 地址上的端口。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在探测大量可公开路由的 IP 地址上的端口。此类活动通常用于查找易受攻击的主机。在 GuardDuty 控制台的查找详细信息面板中,仅显示最新的远程 IP 地址

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/SuspiciousDomainRequest.Reputation

一个EC2实例正在查询一个信誉较低的域名,该域名由于年代久远或受欢迎程度低而具有可疑性。

默认严重级别:低

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的亚马逊EC2实例正在查询一个被怀疑为恶意的低信誉域名。注意到该域的特征与先前观察到的恶意域名一致,但是,我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的,或者接收到的流量较少。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Impact:EC2/WinRMBruteForce

一个EC2实例正在执行出站 Windows 远程管理暴力攻击。

默认严重级别:低*

注意

如果您的EC2实例是暴力攻击的目标,则此发现的严重性较低。如果你的EC2实例是用来执行暴力攻击的行为者,那么这个发现的严重性就会很高。

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在执行 Windows 远程管理 (WinRM) 暴力攻击,其目的是在基于 Windows 的系统上访问 Windows 远程管理服务。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Recon:EC2/PortProbeEMRUnprotectedPort

EC2实例具有未受保护的EMR相关端口,已知的恶意主机正在探测该端口。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉您,列出的EC2实例上的EMR相关敏感端口(属于您的 AWS 环境中集群的一部分)未被安全组、访问控制列表 (ACL) 或主机防火墙(例如 Linux)阻止。IPTables此调查发现还表明互联网上的已知扫描器正在积极地探测该端口。可能触发此发现的端口,例如端口 8088(YARNWeb UI 端口),可能用于远程代码执行。

修复建议:

您应阻止集群上的端口接受来自 Internet 的公开访问,并将访问限制为必须访问这些端口的特定 IP 地址。有关更多信息,请参阅EMR集群安全组

Recon:EC2/PortProbeUnprotectedPort

EC2实例具有未受保护的端口,已知的恶意主机正在探测该端口。

默认严重级别:低*

注意

此调查发现的默认严重级别为“低”。但是,如果被探测的端口是供 Elasticsearch(9200 或 9300)使用的,则调查发现的严重性将为高。

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例上的某个端口未被安全组、访问控制列表 (ACL) 或主机防火墙(例如 LinuxIPTables)阻止,而且 Internet 上的已知扫描程序正在积极探测该端口。

如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问,请参阅为 Windows 实例授权入站流量

GuardDuty 不会为端口 443 和 80 生成此结果。

修复建议:

这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能失陷的 Amazon EC2 实例

Recon:EC2/Portscan

一个EC2实例正在对远程主机执行出站端口扫描。

默认严重级别:中

  • 数据源:VPC流日志

此发现告诉您,您的 AWS 环境中列出的EC2实例可能正在进行端口扫描攻击,因为它试图在短时间内连接到多个端口。端口扫描攻击的目的是找出开放端口,用于发现机器运行何种服务以及确定其操作系统。

修复建议:

在您的环境中的EC2实例上部署漏洞评估应用程序时,这一发现可能是误报,因为这些应用程序会进行端口扫描,以提醒您注意错误配置的开放端口。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/BlackholeTraffic

一个EC2实例正在尝试与已知黑洞的远程主机的 IP 地址进行通信。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例可能因尝试与黑洞(或沉孔)的 IP 地址通信而受到威胁。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/BlackholeTraffic!DNS

一个EC2实例正在查询一个被重定向到黑洞 IP 地址的域名。

默认严重级别:中

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例可能受到威胁,因为它正在查询一个被重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DGADomainRequest.B

一个EC2实例正在查询通过算法生成的域。此类域名通常被恶意软件使用,可能表示EC2实例已被入侵。

默认严重级别:高

  • 数据源:DNS日志

此发现告诉您,您的 AWS 环境中列出的EC2实例正在尝试查询域生成算法 (DGA) 域。您的EC2实例可能遭到入侵。

DGAs用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这一发现基于使用高级启发式方法对域名的分析,可能会识别出威胁情报源中不存在的新DGA域名。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DGADomainRequest.C!DNS

一个EC2实例正在查询通过算法生成的域。此类域名通常被恶意软件使用,可能表示EC2实例已被入侵。

默认严重级别:高

  • 数据源:DNS日志

此发现告诉您,您的 AWS 环境中列出的EC2实例正在尝试查询域生成算法 (DGA) 域。您的EC2实例可能遭到入侵。

DGAs用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这一发现基于威胁 GuardDuty情报源中的已知DGA域。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DNSDataExfiltration

一个EC2实例正在通过查询泄露数据。DNS

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例正在运行恶意软件,该恶意软件使用DNS查询进行出站数据传输。这种类型的数据传输表示实例已被泄露,并可能导致数据泄露。 DNS流量通常不会被防火墙阻止。例如,受感染EC2实例中的恶意软件可以将数据(例如您的信用卡号)编码为DNS查询,然后将其发送到由攻击者控制的远程DNS服务器。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DriveBySourceTraffic!DNS

一个EC2实例正在查询远程主机的域名,该域名是 Drive-By 下载攻击的已知来源。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中列出的EC2实例可能受到威胁,因为它正在查询远程主机的域名,而该域名是已知的偷渡式下载攻击来源。这些是来自 Internet 的恶意计算机软件下载,可能会触发自动安装病毒、间谍软件或恶意软件。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DropPoint

一个EC2实例正试图与远程主机的 IP 地址通信,该地址已知该地址持有恶意软件捕获的凭证和其他被盗数据。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例正在尝试与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭据和其他被盗数据。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/DropPoint!DNS

一个EC2实例正在查询远程主机的域名,该主机的域名已知包含恶意软件捕获的凭证和其他被盗数据。

默认严重级别:中

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例正在查询远程主机的域名,该域名已知包含恶意软件捕获的凭据和其他被盗数据。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Trojan:EC2/PhishingDomainRequest!DNS

一个EC2实例正在查询网络钓鱼攻击中涉及的域名。您的EC2实例可能遭到入侵。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中有一个EC2实例正在尝试查询涉及网络钓鱼攻击的域名。网络钓鱼域由冒充合法机构的人设置,其目的是引诱个人提供敏感数据,如个人可识别信息、银行和信用卡信息、密码等。您的EC2实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者它可能正在尝试设置网络钓鱼网站。您的EC2实例可能遭到入侵。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2实例正在与自定义威胁列表上的 IP 地址建立连接。

默认严重级别:中

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例正在与您上传的威胁列表中包含的 IP 地址进行通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查发现的威胁列表将在调查发现的详细信息中列出。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

UnauthorizedAccess:EC2/MetadataDNSRebind

一个EC2实例正在执行解析到实例元数据服务的DNS查询。

默认严重级别:高

  • 数据源:DNS日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例正在查询解析为EC2元数据 IP 地址 (169.254.169.254) 的域。此类DNS查询可能表明该实例是DNS重新绑定技术的目标。此技术可用于从EC2实例获取元数据,包括与该实例关联的IAM证书。

DNS重新绑定涉及欺骗在EC2实例上运行的应用程序加载来自的返回数据URL,其中中的域名URL解析为EC2元数据 IP 地址 (169.254.169.254)。这会导致应用程序访问EC2元数据,并可能将其提供给攻击者。

只有当实例运行允许注入的易受攻击的应用程序,或者有人在EC2实例上运行的 Web 浏览器URL中访问EC2元数据时URLs,才可以使用DNS重新绑定来访问元数据。EC2

修复建议:

针对这一发现,您应该评估EC2实例上是否有易受攻击的应用程序在运行,或者是否有人使用浏览器访问了调查结果中确定的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果是由于某用户已浏览识别的域,则应阻止该域或阻止用户进行访问。如果您确定此发现与上述任一案例有关,请撤消与该EC2实例关联的会话

一些 AWS 客户故意将元数据 IP 地址映射到其权威DNS服务器上的域名。如果您的 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为DNS请求域,其值应与您映射到元数据 IP 地址 (169.254.169.254) 的域相匹配。有关创建隐藏规则的更多信息,请参阅中的抑制规则 GuardDuty

UnauthorizedAccess:EC2/RDPBruteForce

一个EC2实例参与了RDP暴力攻击。

默认严重级别:低*

注意

如果您的EC2实例是暴力攻击的目标,则此发现的严重性较低。如果你的EC2实例是用来执行暴力攻击的行为者,那么这个发现的严重性就会很高。

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例参与了暴力攻击,该攻击旨在获取基于 Windows 的系统上的RDP服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。

修复建议:

如果您的实例的资源角色ACTOR,则表示您的实例已被用于执行RDP暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 修复可能失陷的 Amazon EC2 实例 中列出的操作。

如果您的实例的资源角色TARGET,则IPs可以通过安全组或防火墙将您的RDP端口保护为仅受信任来纠正此发现。ACLs有关更多信息,请参阅保护您的EC2实例的提示 (Linux)

UnauthorizedAccess:EC2/SSHBruteForce

一个EC2实例参与了SSH暴力攻击。

默认严重级别:低*

注意

如果暴力攻击针对您的一个EC2实例,则此发现的严重性较低。如果您的EC2实例被用于执行暴力攻击,则此发现的严重性很高。

  • 数据源:VPC流日志

这一发现告诉您,您的 AWS 环境中的一个EC2实例参与了暴力攻击,该攻击旨在获取基于 Linux 的系统上的SSH服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。

注意

此调查发现仅通过在端口 22 上监控流量生成。如果您的SSH服务配置为使用其他端口,则不会生成此结果。

修复建议:

如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的抑制规则 GuardDuty

如果您的环境预计不会出现此活动,而您的实例的资源角色TARGET,则IPs可以通过安全组或防火墙将您的SSH端口保护为仅受信任来纠正此发现。ACLs有关更多信息,请参阅保护您的EC2实例的提示 (Linux)

如果您的实例的资源角色ACTOR,则表示该实例已被用于执行SSH暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 修复可能失陷的 Amazon EC2 实例 中列出的操作。

UnauthorizedAccess:EC2/TorClient

您的EC2实例正在连接到 Tor Guard 或权威节点。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉你,你的 AWS 环境中的一个EC2实例正在连接到 Tor Guard 或 Authority 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表明此EC2实例已被入侵并充当 Tor 网络上的客户端。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

UnauthorizedAccess:EC2/TorRelay

您的EC2实例正在作为 Tor 中继与 Tor 网络建立连接。

默认严重级别:高

  • 数据源:VPC流日志

这一发现告诉你,你 AWS 环境中的一个EC2实例正在与 Tor 网络建立连接,这表明它正在充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继,来提高通信的匿名程度。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例