停用的调查发现类型

调查结果是一种通知，其中包含有关已发现 GuardDuty 的潜在安全问题的详细信息。有关对 GuardDuty 查找结果类型进行重要更改（包括新添加或已停用的查找类型）的信息，请参见Amazon 的文档历史记录 GuardDuty。

以下查找类型已停用，不再由生成 GuardDuty。

重要

您无法重新激活已停用的 GuardDuty 查找类型。

Exfiltration:S3/ObjectRead.Unusual

一个IAM实体以可疑的方式调用了 S3 API。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

• 数据源：S3 CloudTrail 的数据事件

这一发现告诉您，您的 AWS 环境中的某个IAM实体正在进行涉及 S3 存储桶且与该实体确定的基准不同的API调用。本活动中使用的API呼叫与攻击的渗透阶段相关，在该阶段中，攻击者正试图收集数据。这种活动是可疑的，因为该IAM实体调用的方式API不寻常。例如，此IAM实体以前没有调用此类的历史API，或者API是从异常位置调用的。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Impact:S3/PermissionsModification.Unusual

一个IAM实体调用API来修改一个或多个 S3 资源的权限。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现告诉您，某个IAM实体正在进行旨在修改您 AWS 环境中一个或多个存储桶或对象的权限的API调用。攻击者可能执行此操作，允许在账户外部共享信息。这种活动是可疑的，因为该IAM实体调用的方式API不寻常。例如，此IAM实体以前没有调用此类的历史API，或者API是从异常位置调用的。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Impact:S3/ObjectDelete.Unusual

调用的IAM实体API用于删除 S3 存储桶中的数据。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现告诉您，您的 AWS 环境中的某个特定IAM实体正在进行API调用，旨在通过删除列出的 S3 存储桶本身来删除该存储桶中的数据。这种活动是可疑的，因为该IAM实体调用的方式API不寻常。例如，此IAM实体以前没有调用此类的历史API，或者API是从异常位置调用的。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Discovery:S3/BucketEnumeration.Unusual

一个IAM实体调用了 S3，API用于在您的网络中发现 S3 存储桶。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

此发现告知您某个IAM实体已调用 S3 API 来发现您的环境中的 S3 存储桶，例如。ListBuckets此类活动与攻击的发现阶段有关，攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。这种活动是可疑的，因为该IAM实体调用的方式API不寻常。例如，此IAM实体以前没有调用此类的历史API，或者API是从异常位置调用的。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Persistence:IAMUser/NetworkPermissions

一个调用的IAM实体，API通常用于更改安全组、路由和 AWS 账户ACLs中的网络访问权限。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现表明，您 AWS 环境中的特定负责人（AWS 账户根用户 IAM角色或用户）表现出的行为与既定基准不同。该委托人以前没有调用此API命令的历史。

当在可疑情况下更改网络配置设置时，例如当委托人调用之前没有这样做的历史时，CreateSecurityGroupAPI就会触发此发现。攻击者经常尝试更改安全组以允许某些入站流量进入各个端口，从而提高他们访问EC2实例的能力。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Persistence:IAMUser/ResourcePermissions

委托人调用了API通常用于更改您的中各种资源的安全访问策略 AWS 账户。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果调用API的是使用在实例上创建的临时 AWS 证书，则发现的严重性为 “高”。

这一发现表明，您 AWS 环境中的特定负责人（AWS 账户根用户 IAM角色或用户）表现出的行为与既定基准不同。该委托人以前没有调用此API命令的历史。

当检测到附加到 AWS 资源的策略或权限发生了变化时，例如您的 AWS 环境中的委托人调用了之前没有这样做的历史时，就会触发此发现。PutBucketPolicy API某些服务（如 Amazon S3）支持资源附加权限，可授予一个或多个主体访问资源的权限。攻击者利用窃取的凭证更改附加到资源的策略，从而获取对该资源的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Persistence:IAMUser/UserPermissions

调用的委托人API通常用于在您的 AWS 账户中添加、修改或删除IAM用户、群组或策略。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现表明，您 AWS 环境中的特定负责人（AWS 账户根用户 IAM角色或用户）表现出的行为与既定基准不同。该委托人以前没有调用此API命令的历史。

此发现是由环境中用户相关权限的可疑更改触发的，例如，当您的 AWS 环境中的委托人调用之前没有调AttachUserPolicyAPI用历史记录时。 AWS 攻击者可能会利用窃取的凭证创建新用户，为现有用户添加访问策略或创建访问密钥，以最大限度地提高对账户的访问权限，即使其原始接入点已关闭。例如，帐户的所有者可能会注意到特定的IAM用户或密码被盗，并将其从该帐户中删除。但是，他们可能不会删除由欺诈创建的管理员主体创建的其他用户，从而使攻击者可以访问他们的 AWS 帐户。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

PrivilegeEscalation:IAMUser/AdministrativePermissions

委托人尝试给自己分配高度宽松的策略。

默认严重级别：低*

注意

如果权限提升尝试不成功，此调查发现的严重性为“低”；如果权限提升尝试成功，则为“中”。

这一发现表明，您的 AWS 环境中某个特定IAM实体表现出的行为可能表明存在权限升级攻击。当IAM用户或角色尝试为自己分配高度宽松的策略时，就会触发此发现。如果相关用户或角色不应具有管理权限，则表示该用户的凭证已被盗用或者该角色的权限可能未正确配置。

攻击者将会利用窃取的凭证创建新用户，为现有用户添加访问策略或创建访问密钥，以最大限度地提高对账户的访问权限，即使其原始接入点已关闭。例如，账户的所有者可能会注意到特定IAM用户的登录凭证被盗并将其从账户中删除，但可能不会删除由欺诈创建的管理员委托人创建的其他用户，从而使攻击者仍然可以访问他们的 AWS 帐户。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Recon:IAMUser/NetworkPermissions

委托人调用了API通常用于更改安全组、路由和您 AWS 账户ACLs中的网络访问权限。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现表明，您 AWS 环境中的特定负责人（AWS 账户根用户 IAM角色或用户）表现出的行为与既定基准不同。该委托人以前没有调用此API命令的历史。

当在可疑的情况下探测到您 AWS 账户中的资源访问权限时，将会触发此调查发现。例如，如果委托人以前没有这样做的历史就调用了。DescribeInstances API攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察，以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Recon:IAMUser/ResourcePermissions

委托人调用了API通常用于更改您 AWS 账户中各种资源的安全访问策略。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

这一发现表明，您 AWS 环境中的特定负责人（AWS 账户根用户 IAM角色或用户）表现出的行为与既定基准不同。该委托人以前没有调用此API命令的历史。

当在可疑的情况下探测到您 AWS 账户中的资源访问权限时，将会触发此调查发现。例如，如果委托人以前没有这样做的历史就调用了。DescribeInstances API攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察，以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Recon:IAMUser/UserPermissions

调用的委托人API通常用于在您的 AWS 账户中添加、修改或删除IAM用户、群组或策略。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

当在可疑情况下探测您 AWS 环境中的用户权限时，就会触发此发现。例如，如果委托人（AWS 账户根用户、IAM角色或IAM用户）在ListInstanceProfilesForRoleAPI以前没有调用历史的情况下调用了。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察，以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

这一发现表明，您所在 AWS 环境中的一个特定主体表现出的行为与既定基准不同。该委托人以前没有以这种方式调用此方法API的历史。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

ResourceConsumption:IAMUser/ComputeResources

委托人调用了API常用于启动计算资源（如EC2实例）。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

当您的 AWS 环境中列出的账户中的EC2实例在可疑情况下启动时，就会触发此发现。这一发现表明，您的 AWS 环境中的特定委托人表现出的行为RunInstancesAPI与既定基准不同；例如，如果一个委托人（AWS 账户根用户、IAM角色或IAM用户）在以前没有这样做的历史的情况下调用了。这可能指示攻击者正在使用被盗凭证窃取计算时间 (可能用于加密货币挖矿或密码破解)。这也可能表明攻击者使用您 AWS 环境中的EC2实例及其凭据来维护对您账户的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了API通常用于停止 CloudTrail 日志记录、删除现有日志以及以其他方式消除您 AWS 账户中的活动痕迹。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

当在可疑情况下修改您环境中列出的 AWS 账户中的日志记录配置时，会触发此调查发现。这一发现告诉您，您 AWS 环境中的特定委托人表现出的行为StopLoggingAPI与既定基准不同；例如，如果一个委托人（AWS 账户根用户、IAM角色或IAM用户）在以前没有这样做的历史的情况下调用了。这可能指示攻击者正在尝试通过消息任何其活动的跟踪来覆盖其跟踪。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

UnauthorizedAccess:IAMUser/ConsoleLogin

在您的 AWS 账户中观察到一位委托人异常登录控制台。

默认严重级别：中*

注意

此调查发现的默认严重级别为“中”。但是，如果使用API在实例上创建的临时 AWS 证书调用，则发现的严重性为 “高”。

当在可疑的情况下检测到控制台登录时，会触发此调查结果。例如，如果以前没有这样做历史的委托人 ConsoleLogin API从 never-before-used客户或异常地点调用。这可能表明被盗的凭证被用来访问您的 AWS 账户，或者有效用户以无效或不太安全的方式（例如，未超出已批准的范围VPN）访问账户。

这一发现告诉你，你所在 AWS 环境中的一个特定的主体表现出的行为与既定基准不同。此委托人以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

UnauthorizedAccess:EC2/TorIPCaller

您的EC2实例正在接收来自 Tor 出口节点的入站连接。

默认严重级别：中

这一发现告诉您，您的 AWS 环境中的一个EC2实例正在接收来自 Tor 出口节点的入站连接。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这一发现可能表明有人未经授权访问您的 AWS 资源，目的是隐藏攻击者的真实身份。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon 实例 EC2。

Backdoor:EC2/XORDDOS

一个EC2实例正试图与与XORDDoS恶意软件关联的 IP 地址进行通信。

默认严重级别：高

这一发现告诉您，您的 AWS 环境中的一个EC2实例正试图与与XORDDoS恶意软件关联的 IP 地址进行通信。此EC2实例可能已被入侵。XORDDoS是劫持 Linux 系统的特洛伊木马恶意软件。为了获得对系统的访问权限，它会发起暴力攻击，以发现 Linux 上的 Secure Shell (SSH) 服务的密码。获取SSH凭据并成功登录后，它会使用 root 用户权限运行下载和安装的脚本XORDDoS。然后，该恶意软件被用作僵尸网络的一部分，对其他目标发起分布式拒绝服务 (DDoS) 攻击。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon 实例 EC2。

Behavior:IAMUser/InstanceLaunchUnusual

用户启动了一个异常类型的EC2实例。

默认严重级别：高

这一发现告诉您，您 AWS 环境中的特定用户表现出的行为与既定基准不同。此用户以前没有启动过此类EC2实例的历史记录。您的登录凭证可能已泄露。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。

CryptoCurrency:EC2/BitcoinTool.A

EC2实例正在与比特币矿池通信。

默认严重级别：高

这一发现告诉您，您的 AWS 环境中的一个EC2实例正在与比特币矿池通信。在数字加密货币挖矿领域中，矿池是通过网络共享其处理能力的矿工的资源池，以根据在解析数据块中所贡献的工作量来拆分回报。除非您将此EC2实例用于比特币挖矿，否则您的EC2实例可能会遭到入侵。

修复建议：

如果此活动是意外活动，则您的实例可能被盗用。有关更多信息，请参阅 修复可能遭到入侵的 Amazon 实例 EC2。

UnauthorizedAccess:IAMUser/UnusualASNCaller

API是从异常网络的 IP 地址调用的。

默认严重级别：高

此调查结果告知您已从异常网络的 IP 地址调用特定活动。在所描述用户的整个 AWS 使用历史中，从未观察到该网络。此活动可能包括登录控制台、尝试启动EC2实例、创建新IAM用户、修改您的 AWS 权限等。这可能表示您的 AWS 资源遭到未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 AWS。