本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
以下发现特定于 Amazon EC2 资源,其资源类型始终为Instance。调查结果的严重程度和细节因资源角色而异,资源角色表示 EC2 资源是可疑活动的目标还是执行活动的行为者。
此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 GuardDuty 基础数据源。
备注
-
EC2 如果实例已经终止,或者底层 API 调用来自不同地区的实例,则可能缺少查找的 EC2 实例详细信息。
-
EC2 使用 VPC 流日志作为数据源的发现不支持 IPv6 流量。
对于所有 EC2 发现,建议您检查相关资源,以确定其行为是否符合预期。如果活动已获得授权,则可以使用抑制规则或可信 IP 列表,来防止该资源的误报通知。如果活动是意外活动,则安全的最佳实践是假定实例已被盗用,并执行 修复可能遭到入侵的 Amazon 实例 EC2 中详述的操作。
主题
Backdoor:EC2/C&CActivity.B
一个 EC2 实例正在查询与已知命令和控制服务器关联的 IP。
默认严重级别:高
-
数据来源:VPC 流日志
此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的 IP。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,其中可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
注意
如果查询的 IP 与 log4j 相关,则相关调查发现的字段将包含以下值:
-
服务。附加信息。 threatListName = 亚马逊
-
service.additionalInfo.threatName = Log4j Related
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/C&CActivity.B!DNS
一个 EC2 实例正在查询与已知命令和控制服务器关联的域名。
默认严重级别:高
-
数据来源:DNS 日志
此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的域名。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,其中可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
注意
如果查询的域名与 log4j 相关,则相关调查发现的字段将包含以下值:
-
服务。附加信息。 threatListName = 亚马逊
-
service.additionalInfo.threatName = Log4j Related
注意
要测试如何 GuardDuty 生成此发现类型,您可以针对测试域从您的实例(使用dig适用于 Linux 或 nslookup Windows)发出 DNS 请求guarddutyc2activityb.com。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/DenialOfService.Dns
EC2 实例的行为方式可能表明它正被用来使用 DNS 协议进行拒绝服务 (DoS) 攻击。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在生成大量出站 DNS 流量。这可能表明列出的实例已遭到入侵,并被用来使用 DNS 协议执行 denial-of-service (DoS) 攻击。
注意
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/DenialOfService.Tcp
EC2 实例的行为方式表明它正被用来使用 TCP 协议执行拒绝服务 (DoS) 攻击。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在生成大量出站 TCP 流量。这可能表明该实例已遭到入侵并被用来使用 TCP 协议执行 denial-of-service (DoS) 攻击。
注意
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/DenialOfService.Udp
EC2 实例的行为方式表明它正被用来使用 UDP 协议执行拒绝服务 (DoS) 攻击。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在生成大量出站 UDP 流量。这可能表明列出的实例已遭到入侵,并被用来使用 UDP 协议执行 denial-of-service (DoS) 攻击。
注意
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/DenialOfService.UdpOnTcpPorts
EC2实例的行为方式可能表明它正被用来在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在生成大量针对通常用于 TCP 通信的端口的出站 UDP 流量。这可能表明列出的实例已遭到入侵,并被用来在 TCP 端口上使用 UDP 协议执行 denial-of-service (DoS) 攻击。
注意
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/DenialOfService.UnusualProtocol
EC2实例的行为方式可能表明它正被用来使用异常协议执行拒绝服务 (DoS) 攻击。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在从 EC2 实例通常不使用的异常协议类型(例如 Internet 组管理协议)生成大量出站流量。这可能表明该实例已遭到入侵,并且正被用来使用异常协议执行 denial-of-service (DoS) 攻击。此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Backdoor:EC2/Spambot
一个 EC2 实例通过端口 25 与远程主机通信,表现出异常行为。
默认严重级别:中
-
数据来源:VPC 流日志
此发现告诉您,您的 AWS 环境中列出的 EC2 实例正在通过端口 25 与远程主机通信。这种行为不寻常,因为此 EC2 实例之前没有端口 25 上的通信历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。这一发现表明,您的 EC2 实例可能因用于发送垃圾邮件而遭到入侵。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Behavior:EC2/NetworkPortUnusual
一个 EC2 实例正在通过异常的服务器端口与远程主机通信。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例的行为方式偏离了既定基准。此 EC2 实例在此远程端口上没有以前的通信历史记录。
注意
如果 EC2 实例通过端口 389 或端口 1389 进行通信,则关联的查找结果严重性将修改为 “高”,并且查找字段将包含以下值:
-
service.additionalInfo.context = Possible log4j callback
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Behavior:EC2/TrafficVolumeUnusual
一个 EC2 实例正在向远程主机生成异常大的网络流量。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例的行为方式偏离了既定基准。此 EC2 实例以前没有向该远程主机发送这么多流量的历史记录。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
CryptoCurrency:EC2/BitcoinTool.B
一个 EC2 实例正在查询与加密货币相关活动关联的 IP 地址。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在查询与比特币或其他加密货币相关活动关联的 IP 地址。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
修复建议:
如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则该发现可能是您环境的预期活动。如果您的 AWS
环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
CryptoCurrency:EC2/BitcoinTool.B!DNS
一个 EC2 实例正在查询与加密货币相关活动关联的域名。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在查询与比特币或其他加密货币相关活动关联的域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
修复建议:
如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则该发现可能是您环境的预期活动。如果您的 AWS
环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
DefenseEvasion:EC2/UnusualDNSResolver
一个 Amazon EC2 实例正在与一个不寻常的公共 DNS 解析器通信。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 Amazon EC2 实例的行为方式与基准行为有所不同。此 EC2 实例最近没有与该公共 DNS 解析器通信的历史记录。 GuardDuty 控制台中查找详细信息面板中的 “异常” 字段可以提供有关所查询的 DNS 解析器的信息。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
DefenseEvasion:EC2/UnusualDoHActivity
亚马逊 EC2 实例正在通过 HTTPS 执行异常的 DNS (DoH) 通信。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 Amazon EC2 实例的行为方式偏离了既定基准。此 EC2 实例最近没有任何通过 HTTPS 的 DNS (DoH) 与该公共卫生部服务器通信的历史记录。调查发现详细信息中的异常字段,可提供有关所查询的 DoH 服务器的信息。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
DefenseEvasion:EC2/UnusualDoTActivity
Amazon EC2 实例正在执行异常的 DNS 基于 TLS (DoT) 的通信。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例的行为方式偏离了既定基准。此 EC2 实例最近没有与该公共交通部服务器进行 DNS over TLS (DoT) 通信的历史记录。调查发现详细信息面板中的异常字段,可提供有关所查询的 DoT 服务器的信息。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/AbusedDomainRequest.Reputation
一个 EC2实例正在查询与已知滥用域名关联的低信誉域名。
默认严重级别:中
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的亚马逊 EC2 实例正在查询与已知滥用域或 IP 地址关联的低信誉域名。滥用域名的例子包括提供免费子域注册的顶级域名 (TLDs) 和二级域名 (2LDs) 以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域,因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行C&C和恶意软件分发,因此列出的Amazon EC2 实例可能会遭到入侵。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/BitcoinDomainRequest.Reputation
一个 EC2实例正在查询与加密货币相关活动关联的低信誉域名。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的Amazon EC2 实例正在查询与比特币或其他加密货币相关活动相关的低信誉域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
修复建议:
如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能代表您的环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是实例的实例 ID,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/MaliciousDomainRequest.Reputation
一个 EC2实例正在查询与已知恶意域关联的低信誉域。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的亚马逊 EC2 实例正在查询与已知恶意域或 IP 地址关联的低信誉域名。例如,域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域,如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/PortSweep
一个 EC2 实例正在探测大量 IP 地址上的端口。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在探测大量可公开路由的 IP 地址上的端口。此类活动通常用于查找易受攻击的主机。在 GuardDuty 控制台的查找详细信息面板中,仅显示最新的远程 IP 地址
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/SuspiciousDomainRequest.Reputation
一个 EC2实例正在查询一个信誉较低的域名,该域名由于年代久远或受欢迎程度低而具有可疑性。
默认严重级别:低
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的亚马逊 EC2 实例正在查询一个被怀疑为恶意的低信誉域名。注意到该域的特征与先前观察到的恶意域名一致,但是,我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的,或者接收到的流量较少。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Impact:EC2/WinRMBruteForce
一个 EC2 实例正在执行出站 Windows 远程管理暴力攻击。
默认严重级别:低*
注意
如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性较低。如果你的 EC2 实例是被用来执行暴力攻击的行为者,那么这个发现的严重性就会很高。
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在执行 Windows 远程管理 (WinRM) 暴力攻击,其目的是在基于 Windows 的系统上访问 Windows 远程管理服务。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Recon:EC2/PortProbeEMRUnprotectedPort
EC2 实例具有未受保护的 EMR 相关端口,已知的恶意主机正在探测该端口。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉您, EC2列出的实例上与EMR相关的敏感端口是 AWS 您环境中集群的一部分,未被安全组、访问控制列表 (ACL) 或主机上的防火墙(例如 Linux)阻止。 IPTables此调查发现还表明互联网上的已知扫描器正在积极地探测该端口。可触发此调查发现的端口可能被用于远程代码执行,例如端口 8088(YARN Web UI 端口)。
修复建议:
您应阻止集群上的端口接受来自 Internet 的公开访问,并将访问限制为必须访问这些端口的特定 IP 地址。有关更多信息,请参阅 EMR 集群的安全组。
Recon:EC2/PortProbeUnprotectedPort
EC2 实例具有未受保护的端口,已知的恶意主机正在探测该端口。
默认严重级别:低*
注意
此调查发现的默认严重级别为“低”。但是,如果被探测的端口是供 Elasticsearch(9200 或 9300)使用的,则调查发现的严重性将为高。
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例上的某个端口未被安全组、访问控制列表 (ACL) 或主机防火墙(例如 Linux IPTables)阻止,而且 Internet 上的已知扫描程序正在积极探测该端口。
如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问,请参阅为 Windows 实例授权入站流量。
GuardDuty 不会为端口 443 和 80 生成此结果。
修复建议:
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Recon:EC2/Portscan
一个 EC2 实例正在对远程主机执行出站端口扫描。
默认严重级别:中
-
数据来源:VPC 流日志
此发现告诉您,您的 AWS 环境中列出的 EC2 实例可能正在进行端口扫描攻击,因为它试图在短时间内连接到多个端口。端口扫描攻击的目的是找出开放端口,用于发现机器运行何种服务以及确定其操作系统。
修复建议:
在您的环境中的 EC2 实例上部署漏洞评估应用程序时,这一发现可能是误报,因为这些应用程序会进行端口扫描,以提醒您注意错误配置的开放端口。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/BlackholeTraffic
一个 EC2 实例正在尝试与已知黑洞的远程主机的 IP 地址进行通信。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例可能因尝试与黑洞(或沉孔)的 IP 地址通信而受到威胁。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/BlackholeTraffic!DNS
一个 EC2 实例正在查询一个被重定向到黑洞 IP 地址的域名。
默认严重级别:中
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例可能受到威胁,因为它正在查询一个被重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DGADomainRequest.B
一个 EC2 实例正在查询通过算法生成的域。此类域名通常被恶意软件使用,可能表示 EC2 实例已被入侵。
默认严重级别:高
-
数据来源:DNS 日志
此发现告诉您,您的 AWS 环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭到入侵。
DGAs 用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。
注意
这此调查发现基于使用高级探试程序的域名分析,可能会发现在威胁情报源中不存在的新 DGA 域。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DGADomainRequest.C!DNS
一个 EC2 实例正在查询通过算法生成的域。此类域名通常被恶意软件使用,可能表示 EC2 实例已被入侵。
默认严重级别:高
-
数据来源:DNS 日志
此发现告诉您,您的 AWS 环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭到入侵。
DGAs 用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。
注意
这一发现基于威胁情报源中已知 GuardDuty的DGA域名。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DNSDataExfiltration
一个 EC2 实例正在通过 DNS 查询泄露数据。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在运行恶意软件,该恶意软件使用 DNS 查询进行出站数据传输。这种类型的数据传输表示实例已被盗用,并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。例如,受感染 EC2 实例中的恶意软件可以将数据(例如您的信用卡号)编码为 DNS 查询,然后将其发送到由攻击者控制的远程 DNS 服务器。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DriveBySourceTraffic!DNS
一个 EC2 实例正在查询远程主机的域名,该域名是 Drive-By 下载攻击的已知来源。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例可能受到威胁,因为它正在查询远程主机的域名,而该域名是已知的偷渡式下载攻击来源。这些是来自 Internet 的恶意计算机软件下载,可能会触发自动安装病毒、间谍软件或恶意软件。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DropPoint
一个 EC2 实例正在尝试与远程主机的 IP 地址通信,该地址已知该地址持有恶意软件捕获的凭证和其他被盗数据。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例正在尝试与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭据和其他被盗数据。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/DropPoint!DNS
一个 EC2 实例正在查询远程主机的域名,该主机的域名已知包含恶意软件捕获的凭证和其他被盗数据。
默认严重级别:中
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例正在查询远程主机的域名,该域名已知包含恶意软件捕获的凭据和其他被盗数据。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
Trojan:EC2/PhishingDomainRequest!DNS
一个 EC2 实例正在查询网络钓鱼攻击中涉及的域名。您的 EC2 实例可能遭到入侵。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中有一个 EC2 实例正在尝试查询涉及网络钓鱼攻击的域名。网络钓鱼域由冒充合法机构的人设置,其目的是引诱个人提供敏感数据,如个人可识别信息、银行和信用卡信息、密码等。您的 EC2 实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者它可能正在尝试设置网络钓鱼网站。您的 EC2 实例可能遭到入侵。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
EC2实例正在与自定义威胁列表上的 IP 地址建立连接。
默认严重级别:中
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例正在与您上传的威胁列表中包含的 IP 地址进行通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查发现的威胁列表将在调查发现的详细信息中列出。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
UnauthorizedAccess:EC2/MetadataDNSRebind
EC2实例正在执行解析到实例元数据服务的 DNS 查询。
默认严重级别:高
-
数据来源:DNS 日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从实例获取元数据,包括与该 EC2 实例关联的 IAM 证书。
DNS 重新绑定涉及欺骗在 EC2 实例上运行的应用程序从 URL 加载返回数据,其中 URL 中的域名解析为 EC2 元数据 IP 地址 (169.254.169.254)。这会导致应用程序访问 EC2 元数据,并可能将其提供给攻击者。
只有当实例运行允许注入的易受攻击的应用程序,或者有人在 EC2实例上运行的 Web 浏览器中访问 URL 时 URLs,才能使用 DNS 重新绑定访问 EC2 元数据。 EC2
修复建议:
针对这一发现,您应评估 EC2 实例上是否有易受攻击的应用程序在运行,或者是否有人使用浏览器访问了调查结果中确定的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果是由于某用户已浏览识别的域,则应阻止该域或阻止用户进行访问。如果您确定此发现与上述任一案例有关,请撤消与该 EC2 实例关联的会话。
一些 AWS 客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为 DNS 请求域,并且值应与已映射到元数据 IP 地址(169.254.169.254)的域匹配。有关创建隐藏规则的更多信息,请参阅中的禁止规则 GuardDuty。
UnauthorizedAccess:EC2/RDPBruteForce
一个 EC2 实例参与了 RDP 暴力攻击。
默认严重级别:低*
注意
如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性较低。如果你的 EC2 实例是被用来执行暴力攻击的行为者,那么这个发现的严重性就会很高。
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Windows 的系统上的 RDP 服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。
修复建议:
如果您实例的资源角色为 ACTOR,则表示实例已用于执行 RDP 暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 修复可能遭到入侵的 Amazon 实例 EC2 中列出的操作。
如果您的实例的资源角色为TARGET,则可以通过保护您的 RDP 端口仅 IPs通过安全组或防火墙进行信任 ACLs,从而纠正这一发现。有关更多信息,请参阅保护您的 EC2 实例的提示 (Linux)
UnauthorizedAccess:EC2/SSHBruteForce
一个 EC2 实例参与了 SSH 暴力攻击。
默认严重级别:低*
注意
如果暴力攻击针对您的一个 EC2 实例,则此发现的严重性较低。如果您的 EC2 实例被用于执行暴力攻击,则此发现的严重性很高。
-
数据来源:VPC 流日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Linux 的系统上的 SSH 服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。
注意
此调查发现仅通过在端口 22 上监控流量生成。如果 SSH 服务配置为使用其他端口,则不会生成此调查发现。
修复建议:
如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或标签值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty。
如果您的环境预计不会出现此活动,而您的实例的资源角色是TARGET,则可以通过将您的 SSH 端口保护为仅 IPs 通过安全组或防火墙信任来纠正此发现。 ACLs有关更多信息,请参阅保护您的 EC2 实例的提示 (Linux)
如果您实例的资源角色为 ACTOR,则表示该实例已用于执行 SSH 暴力攻击。除非此实例有正当理由联系作为 Target 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 修复可能遭到入侵的 Amazon 实例 EC2 中列出的操作。
UnauthorizedAccess:EC2/TorClient
您的 EC2 实例正在连接到 Tor Guard 或权威节点。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉你,你的 AWS 环境中的一个 EC2 实例正在连接到 Tor Guard 或 Authority 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表明此 EC2 实例已被入侵,并且正在充当 Tor 网络上的客户端。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
UnauthorizedAccess:EC2/TorRelay
您的 EC2 实例正在作为 Tor 中继与 Tor 网络建立连接。
默认严重级别:高
-
数据来源:VPC 流日志
这一发现告诉你,你 AWS 环境中的一个 EC2 实例正在与 Tor 网络建立连接,这表明它正在充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继,来提高通信的匿名程度。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2。
