執行階段監視尋找項

Amazon GuardDuty 會產生下列執行階段監控調查結果，以根據 Amazon EKS 叢集、Fargate 和 Amazon ECS 工作負載以及 Amazon EC2 執行個體中 Amazon EC2 主機和容器的作業系統層級行為指出潛在威脅。

注意

執行期監控調查結果類型以從主機收集的執行期記錄為基礎。日誌包含可能由惡意執行者控制的檔案路徑等欄位。這些欄位也包含在 GuardDuty 發現項目中，以提供執行階段內容。在 GuardDuty 主控台外部處理「執行時期監視」發現項目時，您必須清理尋找項目欄位。例如，在網頁上顯示調查結果欄位時，您可以進行 HTML 編碼。

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的 IP 地址。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的 IP 地址。威脅執行者可能試圖控制計算資源，以惡意重新利用它們進行未經授權的加密貨幣挖掘。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣，或者進行兩者中以其他方式參與區塊鏈活動的行為，則此 CryptoCurrency:Runtime/BitcoinTool.B 調查結果可能代表您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性，其值為 CryptoCurrency:Runtime/BitcoinTool.B。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊，請參閱隱藏規則。

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Backdoor:Runtime/C&CActivity.B

Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的 IP。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知命令和控管 (C&C) 伺服器相關聯的 IP。列出的執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合，可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊，像是信用卡號碼。根據殭屍網路的用途和結構而定，C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。

注意

如果查詢的 IP 與 log4J 相關，則相關調查結果的欄位將包含下列值：

• service.additionalInfo.threatListName = Amazon

• service.additionalInfo.threatName = Log4j Related

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

UnauthorizedAccess:Runtime/TorRelay

您的 Amazon EC2 執行個體或容器正在連線至 Tor 網路作為 Tor 轉送。

預設嚴重性：高

• 功能：執行期監控

這項發現會通知您 AWS 環境中的 EC2 執行個體或容器正在連線到 Tor 網路，表明它充當 Tor 中繼。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊，做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

UnauthorizedAccess:Runtime/TorClient

您的 Amazon EC2 執行個體或容器正在連線到 Tor Guard 或 Authority 節點。

預設嚴重性：高

• 功能：執行期監控

此發現會通知您 AWS 環境中的 EC2 執行個體或容器正在連線到 Tor Guard 或授權節點。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量表示此 EC2 執行個體或容器可能已遭入侵，且作為 Tor 網路中的用戶端。此發現可能表示未經授權存取您的 AWS 資源，意圖隱藏攻擊者的真實身分。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/BlackholeTraffic

Amazon EC2 執行個體或容器正在嘗試與已知是黑洞的遠端主機 IP 地址進行通訊。

預設嚴重性：中

• 功能：執行期監控

此發現項目會通知您 AWS 環境中列出的 EC2 執行個體或容器可能遭到入侵，因為它試圖與黑洞 (或接收孔) 的 IP 位址進行通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方，且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機，或未分配主機的地址。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/DropPoint

Amazon EC2 執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊，該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。

預設嚴重性：中

• 功能：執行期監控

此發現項目會通知您 AWS 環境中的 EC2 執行個體或容器正在嘗試與遠端主機的 IP 位址進行通訊，該 IP 位址已知會保留登入資料以及惡意軟體擷取的其他遭竊資料。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2 執行個體或容器正在查詢與加密貨幣活動有關聯的網域名稱。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與比特幣或其他加密貨幣相關活動有關聯的網域名稱。威脅執行者可能試圖控制計算資源，以惡意重新利用它們進行未經授權的加密貨幣挖掘。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣，或者進行兩者中以其他方式參與區塊鏈活動的行為，則此 CryptoCurrency:Runtime/BitcoinTool.B!DNS 調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 CryptoCurrency:Runtime/BitcoinTool.B!DNS。第二個篩選條件應該是加密貨幣或區塊鏈活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊，請參閱隱藏規則。

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的網域名稱。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知命令和控管 (C&C) 伺服器相關聯的網域名稱。列出的 EC2 執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合，可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊，像是信用卡號碼。根據殭屍網路的用途和結構而定，C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。

注意

如果查詢的網域名稱與 log4J 相關，則相關調查結果的欄位將包含下列值：

• service.additionalInfo.threatListName = Amazon

• service.additionalInfo.threatName = Log4j Related

注意

若要測試如何 GuardDuty 產生此尋找項目類型，您可以針對測試網域從執行個體 (使用 dig Linux 或 nslookup Windows) 發出 DNS 要求guarddutyc2activityb.com。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2 執行個體或容器正在查詢重新導向到黑洞 IP 地址的網域名稱。

預設嚴重性：中

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器可能已遭入侵，因為它正在查詢被重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方，且資料來源也不會收到資料未傳送至收件人的通知。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/DropPoint!DNS

Amazon EC2 執行個體或容器正在查詢遠端主機的網域名稱，該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。

預設嚴重性：中

• 功能：執行期監控

此發現項目會通知您 AWS 環境中的 EC2 執行個體或容器正在查詢遠端主機的網域名稱，該遠端主機的網域名稱已知會保留登入資料以及惡意軟體擷取的其他遭竊資料。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2 執行個體或容器正在查詢演算法產生的網域。惡意軟體常用這種網域，且這可以視為 EC2 執行個體或容器已遭入侵的跡象。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在嘗試查詢網域產生演算法 (DGA) 網域。您的資源可能已遭入侵。

DGA 可用來定期產生大量網域名稱，這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦，這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路，因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

注意

此發現項目是以 GuardDuty 威脅情報摘要中已知的 DGA 網域為基礎。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2 執行個體或容器正在查詢已知是 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器可能已遭入侵，因為它正在查詢已知是 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。這些是從網際網路上意外下載的電腦軟體，它們可以啟動病毒、間諜軟體或惡意軟體的自動安裝。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2 執行個體或容器正在查詢遭釣魚攻擊的網域。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，在 AWS 環境中有一個 EC2 執行個體或容器正在嘗試查詢遭釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立，以誘使個人提供敏感資料，如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的 EC2 執行個體或容器可能試圖擷取儲存在釣魚網站上的敏感資料，或者嘗試設定網路釣魚網站。您的 EC2 執行個體或容器可能已遭入侵。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2 執行個體或容器正在查詢與已知的濫用網域相關聯的低信譽網域名稱。

預設嚴重性：中

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知的濫用網域或 IP 地址相關聯的低信譽網域名稱。濫用網域的範例包括頂層網域名稱 (TLD) 和第二層網域名稱 (2LD)，提供免費的子網域註冊，以及動態 DNS 提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域，因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2 執行個體或容器可能已遭入侵，因為威脅執行者通常使用這些註冊機構或服務進行 C&C 和惡意軟體分發。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的低信譽網域名稱。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與比特幣或其他加密貨幣相關活動有關聯的低信譽網域名稱。威脅執行者可能試圖控制計算資源，以惡意重新利用它們進行未經授權的加密貨幣挖掘。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣，或者如果這些資源以其他方式參與區塊鏈活動的行為，則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此發現項目設定抑制規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性，其值為 Impact:Runtime/BitcoinDomainRequest.Reputation。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊，請參閱隱藏規則。

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2 執行個體或容器正在查詢與已知惡意網域相關聯的低信譽網域名稱。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知惡意網域或 IP 地址相關聯的低信譽網域名稱。例如，網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域，對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2 執行個體或容器正在查詢低信譽的網域名稱，該網域名稱本質上因其使用期限或低熱門程度而可疑。

預設嚴重性：低

• 功能：執行期監控

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體或容器正在查詢疑似惡意的低信譽網域名稱。注意到該網域的特徵與先前發現的惡意網域一致，但是，我們的信譽模型無法明確地將其與已知威脅聯繫起來。這些網域通常是新觀察到的，或接收少量的流量。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2 執行個體或容器正在執行解析為執行個體中繼資料服務的 DNS 查詢。

預設嚴重性：高

• 功能：執行期監控

注意

目前，此查找類型僅支持 AMD64 架構。

此發現項目會通知您 AWS 環境中的 EC2 執行個體或容器正在查詢解析為 EC2 中繼資料 IP 位址的網域 (169.254.169.254)。這種類型的 DNS 查詢可能表示執行個體是 DNS 重新繫結技術的目標。此技術可用於從 EC2 執行個體獲取中繼資料，包含與執行個體相關聯的 IAM 憑證。

DNS 重新繫結涉及誘使在 EC2 執行個體上執行的應用程式從 URL 載入傳回資料，其中，URL 中的網域名稱解析為 EC2 中繼資料的 IP 地址 (169.254.169.254)。這會導致應用程式存取 EC2 中繼資料，並可能讓攻擊者能夠使用。

只有在 EC2 執行個體執行的具漏洞應用程式允許注入 URL，或有人在 EC2 執行個體上執行的 Web 瀏覽器存取 URL 時，才可能使用 DNS 重新繫結存取 EC2 中繼資料。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

為了回應此調查結果，您應該評估是否有在 EC2 執行個體或容器上執行的易受攻擊的應用程式，或是是否有人使用瀏覽器存取調查結果中識別的網域。如果根本原因是易受攻擊的應用程式，請修復該漏洞。如果有人瀏覽已識別的網域，請封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例有關，請撤銷與 EC2 執行個體相關聯的工作階段。

有些 AWS 客戶故意將中繼資料 IP 位址對應至其授權 DNS 伺服器上的網域名稱。如果您的 環境是這種情況，建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性，其值為 UnauthorizedAccess:Runtime/MetaDataDNSRebind。第二個篩選條件應該是 DNS 請求網域或容器的容器映像 ID。DNS 請求網域值應該符合您映射到中繼資料 IP 地址 (169.254.169.254) 的網域。如需有關建立隱藏規則的詳細資訊，請參閱隱藏規則。

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Execution:Runtime/NewBinaryExecuted

已執行容器中新建立或最近修改的二進位檔案。

預設嚴重性：中

• 功能：執行期監控

此調查結果會通知您，系統已執行容器中新建立或最近修改的二進位檔案。最佳實務是讓容器在執行期不可變，而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。此行為表示已取得容器存取權、下載並執行惡意程式碼或其他軟體，作為潛在入侵的一部分的惡意行為者。雖然這種類型的活動可能是一種折衷的指示，但它也是一種常見的使用模式。因此，會 GuardDuty 使用機制來識別此活動的可疑執行個體，並僅針對可疑執行個體產生此尋找類型。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的「發現項目」面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

PrivilegeEscalation:Runtime/DockerSocketAccessed

容器內的程序正在使用 Docker 通訊端與 Docker 常駐程式進行通訊。

預設嚴重性：中

• 功能：執行期監控

Docker 通訊端是 Docker 常駐程式 (dockerd) 用於與用戶端進行通訊的 Unix 網域通訊端。用戶端可以執行各種操作，例如通過 Docker 通訊端與 Docker 常駐程式進行通訊來建立容器。容器程序存取 Docker 通訊端是可疑行為。容器程序可以透過與 Docket 通訊端通訊並建立特權容器來逸出容器並獲得主機層級存取許可。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

PrivilegeEscalation:Runtime/RuncContainerEscape

偵測到透過 runC 的容器逸出嘗試。

預設嚴重性：高

• 功能：執行期監控

runC 是高階容器執行階段 (例如 Docker 和 Containerd) 用來產生和執行容器的低階容器執行階段。runC 始終以 root 權限執行，因為它需要執行創建容器的低級任務。威脅執行者可透過修改或利用 RunC 二進位檔案中的弱點來取得主機層級的存取權。

此發現項目會偵測到對 runC 二進位檔案的修改，以及可能嘗試惡意利用下列 RunC 弱點：

• CVE-2019-5736— 利用CVE-2019-5736涉及從容器內覆寫 runC 二進位檔。當容器內的處理序修改 runC 二進位檔時，就會叫用此發現項目。

• CVE-2024-21626-利用CVE-2024-21626涉及將當前工作目錄（CWD）或容器設置為打開的文件描述符。/proc/self/fd/FileDescriptor當偵測到具有下目前工作目錄的容器處理序時，/proc/self/fd/就會叫用此發現項目，例如，/proc/self/fd/7。

此發現可能表示惡意行為者嘗試在下列其中一種類型的容器中執行惡意利用：

• 具有攻擊者控制的映像的新容器。

• 具有主機層級 RunC 二進位檔寫入權限的演員可存取的現有容器。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

偵測到透過 cGroups 發行代理程式進行的容器逸出嘗試。

預設嚴重性：高

• 功能：執行期監控

此調查結果會通知您，偵測到嘗試修改控制群組 (cgroup) 發行代理程式檔案的行為。Linux 使用控制群組 (cgroup) 來限制、說明和隔離處理程序集合的資源使用情況。每個 cgroup 都有一個發行代理程式檔案 (release_agent)，這是一個指令碼，當 cgroup 內的任何程序終止時，Linux 會執行該命令碼。發行代理程式檔案一律會在主機層級執行。容器內的安全威脅執行者可將任意命令寫入屬於 cgroup 的發行代理程式檔案，藉此逸出至主機。當 cgroup 中的一個程序終止時，該執行者編寫的命令將被執行。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

DefenseEvasion:Runtime/ProcessInjection.Proc

在容器或 Amazon EC2 執行個體中偵測到使用 proc 檔案系統的程序注入。

預設嚴重性：高

• 功能：執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術，以逃避防禦並可能提升許可。proc 檔案系統 (procfs) 是 Linux 中的一種特殊的檔案系統，會將程序的虛擬記憶體作為檔案顯示。該檔案的路徑是 /proc/PID/mem，其中 PID 是程序的唯一 ID。威脅執行者可以寫入此檔案，將程式碼插入程序。此調查結果可識別寫入此檔案的潛在嘗試。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源類型可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

DefenseEvasion:Runtime/ProcessInjection.Ptrace

在容器或 Amazon EC2 執行個體中偵測到使用 ptrace 系統呼叫的程序注入。

預設嚴重性：中

• 功能：執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術，以逃避防禦並可能提升許可。一個程序可以使用 ptrace 系統呼叫將程式碼注入到另一個程序中。此調查結果可識別使用 ptrace 系統呼叫將程式碼插入程序的潛在嘗試。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源類型可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

在容器或 Amazon EC2 執行個體中偵測到透過直接寫入虛擬記憶體的程序注入。

預設嚴重性：高

• 功能：執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術，以逃避防禦並可能提升許可。一個程序可以使用系統呼叫 (例如 process_vm_writev) 直接將程式碼插入另一個程序的虛擬記憶體中。此調查結果可識別使用系統呼叫寫入處理程序虛擬記憶體，從而將程式碼插入程序的潛在嘗試。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源類型可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Execution:Runtime/ReverseShell

容器或 Amazon EC2 執行個體中的程序已建立反向 Shell。

預設嚴重性：高

• 功能：執行期監控

反向 Shell 是在從目標主機啟動至執行者主機的連線上建立的 Shell 工作階段。正常 Shell 是從執行者的主機啟動到目標主機，反向 Shell 則與之相反。威脅執行者會建立反向 Shell，在取得對目標的初始存取許可後，在目標上執行命令。此調查結果可識別建立反向 Shell 的潛在嘗試。

修復建議：

如果此活動不在預期中，即代表您的資源類型可能已遭入侵。

DefenseEvasion:Runtime/FilelessExecution

容器或 Amazon EC2 執行個體中的程序正在從記憶體執行程式碼。

預設嚴重性：中

• 功能：執行期監控

當使用磁碟上的記憶體內可執行檔執行程序時，此調查結果會通知您。這是一種常見的防禦逃避技術，可避免將惡意可執行檔案寫入磁碟，以逃避基於掃描的檔案系統的檢測。儘管惡意軟體會使用此技術，但也有一些合法的用例。其中一個例子是一個 just-in-time （JIT）編譯器，它將編譯後的代碼寫入內存並從內存中執行它。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Impact:Runtime/CryptoMinerExecuted

容器或 Amazon EC2 執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。

預設嚴重性：高

• 功能：執行期監控

此發現項目會通知您 AWS 環境中的容器或 EC2 執行個體正在執行與加密貨幣採礦活動相關聯的二進位檔案。威脅執行者可能試圖控制計算資源，以惡意重新利用它們進行未經授權的加密貨幣挖掘。

執行期代理程式會監控多種資源類型的事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台的發現項目面板中檢視資源類型。

修復建議：

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty 主控台的發現項目詳細資料中檢視資源類型，然後參閱修正執行時期監視發現項。

Execution:Runtime/NewLibraryLoaded

新建立或最近修改的程式庫由容器內的程序載入。

預設嚴重性：中

• 功能：執行期監控

此調查結果會通知您，程式庫是在執行期在容器內建立或修改的，並由容器內執行的程序載入。最佳實務是讓容器在執行期不可變，而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。在容器中載入新建立或修改的程式庫可能表示存在可疑活動。此行為表示惡意執行者可能獲得對容器的存取許可，且已經下載並執行惡意軟體或其他軟體作為潛在入侵的一部分。雖然這種類型的活動可能是一種折衷的指示，但它也是一種常見的使用模式。因此，會 GuardDuty 使用機制來識別此活動的可疑執行個體，並僅針對可疑執行個體產生此尋找類型。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

容器內的程序在執行期掛載了主機檔案系統。

預設嚴重性：中

• 功能：執行期監控

多種容器逸出技術涉及在執行期在容器中安裝主機檔案系統。此調查結果會通知您，容器內的程序可能嘗試掛載主機檔案系統，這可能表示存在嘗試逸出到主機的行為。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

PrivilegeEscalation:Runtime/UserfaultfdUsage

程序使用 userfaultfd 系統呼叫來處理使用者空間中的頁面錯誤。

預設嚴重性：中

• 功能：執行期監控

通常，頁面錯誤由核心空間中的核心處理。但是，userfaultfd 系統呼叫允許程序在使用者空間中處理檔案系統上的頁面錯誤。這個有用的功能可以實現使用者空間檔案系統的實作。另一方面，潛在惡意程序也可以利用它來中斷使用者空間的核心。使用 userfaultfd 系統呼叫中斷核心是在利用核心競爭條件期間延伸競爭視窗的常見利用技術。使用 userfaultfd 可能表示 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上存在可疑活動。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Execution:Runtime/SuspiciousTool

容器或 Amazon EC2 執行個體正在執行二進位檔案或指令碼，這些檔案或指令碼經常用於冒犯性的安全案例 (例如滲透測試參與)。

預設嚴重性：變數

此發現的嚴重程度可以是高還是低，具體取決於檢測到的可疑工具是否被認為是雙重使用還是專門用於冒犯性用途。

• 功能：執行期監控

此發現項目會通知您 AWS 環境中的 EC2 執行個體或容器上已執行可疑工具。這包括用於執行測試的工具，也稱為後門工具，網絡掃描器和網絡嗅探器。所有這些工具都可以在良性環境中使用，但有惡意意圖的威脅行為者也經常使用。觀察攻擊性的安全工具可能表明相關的 EC2 實例或容器已遭到入侵。

GuardDuty 檢查相關的執行階段活動和前後關聯，以便僅在關聯的活動和前後關聯可能可疑時才產生此發現項目。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Execution:Runtime/SuspiciousCommand

已在 Amazon EC2 執行個體或容器上執行可疑命令，表示遭到妥協。

預設嚴重性：變數

根據觀察到的惡意病毒碼的影響，此發現項目類型的嚴重性可能是低、中或高。

• 功能：執行期監控

此發現項目會通知您已執行可疑命令，並指出您 AWS 環境中的 Amazon EC2 執行個體或容器已遭到入侵。這表示檔案可能是從可疑來源下載後再執行，或執行中的處理程序會在其命令列中顯示已知的惡意病毒碼。這進一步表明惡意軟件正在系統上運行。

GuardDuty 檢查相關的執行階段活動和前後關聯，以便僅在關聯的活動和前後關聯可能可疑時才產生此發現項目。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

DefenseEvasion:Runtime/SuspiciousCommand

指令已在列出的 Amazon EC2 執行個體或容器上執行，它會嘗試修改或停用 Linux 防禦機制，例如防火牆或基本系統服務。

預設嚴重性：變數

視已修改或停用的防禦機制而定，此發現項目類型的嚴重性可以是「高」、「中」或「低」。

• 功能：執行期監控

此發現項目會通知您已執行嘗試隱藏來自本機系統安全性服務之攻擊的命令。這包括停用 Unix 防火牆、修改本機 IP 資料表、移除crontab項目、停用本機服務或接管LDPreload功能等動作。任何修改都是高度可疑的，並且是潛在的妥協指標。因此，這些機制會偵測或防止系統的進一步危害。

GuardDuty 檢查相關的執行階段活動和前後關聯，以便僅在關聯的活動和前後關聯可能可疑時才產生此發現項目。

執行期代理程式會監控多個資源的事件。若要識別可能遭到入侵的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

DefenseEvasion:Runtime/PtraceAntiDebugging

容器或 Amazon EC2 執行個體中的程序已使用 ptrace 系統呼叫執行反偵錯措施。

預設嚴重性：低

• 功能：執行期監控

此發現顯示，在 Amazon EC2 執行個體或 AWS 環境中的容器上執行的程序已使用 ptrace 系統呼叫搭配選PTRACE_TRACEME項。此活動將導致連接的調試器從正在運行的進程中分離。如果沒有附加調試器，它沒有任何效果。但是，該活動本身引起了懷疑。這可能表示惡意軟體正在系統上執行。惡意軟件經常使用反調試技術來逃避分析，並且可以在運行時檢測到這些技術。

GuardDuty 檢查相關的執行階段活動和前後關聯，以便僅在關聯的活動和前後關聯可能可疑時才產生此發現項目。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需詳細資訊，請參閱 修正執行時期監視發現項。

Execution:Runtime/MaliciousFileExecuted

已知的惡意可執行檔案已在 Amazon EC2 執行個體或容器上執行。

預設嚴重性：高

• 功能：執行期監控

此發現項目會通知您已知的惡意可執行檔已在 Amazon EC2 執行個體或 AWS 環境中的容器上執行。這是一個有力的指標，表明實例或容器已被破壞，並且惡意軟件已被執行。

惡意軟件經常使用反調試技術來逃避分析，並且可以在運行時檢測到這些技術。

GuardDuty 檢查相關的執行階段活動和前後關聯，以便僅在關聯的活動和前後關聯可能可疑時才產生此發現項目。

執行期代理程式會監控多個資源的事件。若要識別受影響的資源，請在 GuardDuty主控台的發現項目詳細資料中檢視資源類型。

修復建議：

如果此活動不在預期中，即代表您的資源可能已遭入侵。如需更多詳細資訊，請參閱 修正執行時期監視發現項。