Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

运行时监控查找类型

亚马逊 GuardDuty 生成以下运行时监控结果，根据来自亚马逊 EKS 集群中的 Amazon EC2 主机和容器、Fargate 和 Amazon ECS 工作负载以及 Amazon EC2 实例的操作系统级行为来指出潜在威胁。

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2 实例或容器正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与加密货币相关活动关联的 IP 地址。威胁行为者可能会试图控制计算资源，恶意将这些资源重新用于未经授权的加密货币挖掘。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果您使用此 EC2 实例或容器挖掘或管理加密货币，或者此 EC2 实例或容器涉及区块链活动，则 CryptoCurrency:Runtime/BitcoinTool.B 调查发现可能表示您环境的预期活动。如果您的 Amazon 环境中出现这种情况，我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 CryptoCurrency:Runtime/BitcoinTool.B。第二个筛选条件应该是实例的实例 ID 或容器的容器镜像 ID，此类实例或容器涉及加密货币或区块链相关活动。有关更多信息，请参阅抑制规则。

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Backdoor:Runtime/C&CActivity.B

Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的 IP。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与已知命令和控制（C&C）服务器关联的 IP。列出的实例或容器可能会被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到互联网的设备（其中可能包括 PC、服务器、移动设备和物联网设备）。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，命令和控制服务器也可以发布命令来启动分布式拒绝服务（DDoS）攻击。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

UnauthorizedAccess:Runtime/TorRelay

Amazon EC2 实例或容器正在以 Tor 中继身份连接到 Tor 网络。

默认严重级别：高

这一发现告诉您，您 Amazon 环境中的 EC2 实例或容器正在与 Tor 网络建立连接，这表明它充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继，来提高通信的匿名程度。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

UnauthorizedAccess:Runtime/TorClient

Amazon EC2 实例或容器正在连接到一个 Tor Guard 或 Authority 节点。

默认严重级别：高

这一发现告诉您，您 Amazon 环境中的 EC2 实例或容器正在与 Tor Guard 或管理机构节点建立连接。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能指示此 EC2 实例或容器已受到潜在攻击，并且正充当 Tor 网络上的客户端。这一发现可能表明有人未经授权访问您的 Amazon 资源，目的是隐藏攻击者的真实身份。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/BlackholeTraffic

Amazon EC2 实例或容器正在尝试与某个远程主机的 IP 地址进行通信，该主机已知是一个黑洞。

默认严重级别：中

这一发现告诉您，列出的 EC2 实例或 Amazon 环境中的容器可能因为尝试与黑洞（或沉孔）的 IP 地址通信而受到威胁。黑洞是网络中的一些位置，在这些位置中会将传入或传出流量静默丢弃，而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/DropPoint

Amazon EC2 实例或容器正在尝试与某个远程主机的 IP 地址进行通信，该主机已知持有恶意软件捕获的凭证和其他被盗数据。

默认严重级别：中

这一发现告诉您，您 Amazon 环境中的 EC2 实例或容器正在尝试与远程主机的 IP 地址通信，该主机已知该地址持有恶意软件捕获的凭证和其他被盗数据。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2 实例或容器正在查询与加密货币活动关联的域名。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与比特币或其他加密货币相关活动关联的域名。威胁行为者可能会试图控制计算资源，从而恶意将这些资源重新用于未经授权的加密货币挖掘。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果您使用此 EC2 实例或容器挖掘或管理加密货币，或者此实例或容器涉及区块链活动，则 CryptoCurrency:Runtime/BitcoinTool.B!DNS 调查发现可能是您环境的预期活动。如果您的 Amazon 环境中出现这种情况，我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 CryptoCurrency:Runtime/BitcoinTool.B!DNS。第二个筛选条件应是实例的实例 ID 或容器的容器镜像 ID，该实例或容器涉及加密货币或区块链活动。有关更多信息，请参阅抑制规则。

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的域名。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询由已知命令和控制（C&C）服务器托管的域名。列出的 EC2 实例或容器可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到互联网的设备（其中可能包括 PC、服务器、移动设备和物联网设备）。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，命令和控制服务器也可以发布命令来启动分布式拒绝服务（DDoS）攻击。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2 实例或容器正在查询重定向到黑洞 IP 地址的域名。

默认严重级别：中

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器可能受到威胁，因为此实例或容器正在查询重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置，在这些位置中会将传入或传出流量静默丢弃，而不向源通知数据未达到源目标接收方。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/DropPoint!DNS

Amazon EC2 实例或容器正在查询某个远程主机的域名，该远程主机已知持有恶意软件捕获的凭证和其他被盗数据。

默认严重级别：中

这一发现告诉您，您 Amazon 环境中的 EC2 实例或容器正在查询远程主机的域名，该域名已知包含恶意软件捕获的凭证和其他被盗数据。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2 实例或容器正在查询通过算法生成的域。此类域通常由恶意软件使用，并且可能表示 EC2 实例或容器被盗用。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在尝试查询域生成算法（DGA）域。您的资源可能已被盗用。

DGA 用于定期生成大量的域名，可由其命令和控制（C&C）服务器用作汇聚点。命令和控制服务器是向僵尸网络的成员发布命令的计算机，僵尸网络是感染了相同类型恶意软件，并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在，使得有效关闭僵尸网络非常困难，因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2 实例或容器正在查询某个远程主机的域名，该远程主机是路过式下载攻击的已知来源。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器可能被盗用，因为此实例或容器正在查询某个远程主机的域名，该远程主机是路过式下载攻击的已知来源。这些是来自 Internet 的恶意计算机软件下载，可能会触发自动安装病毒、间谍软件或恶意软件。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2 实例或容器正在查询涉及网络钓鱼攻击的域。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中的某个 EC2 实例或容器，正在尝试查询涉及网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置，其目的是引诱个人提供敏感数据，如个人可识别信息、银行和信用卡信息、密码等。您的 EC2 实例或容器可能正在尝试检索存储在网络钓鱼网站上的敏感数据，或者可能正在尝试设置网络钓鱼网站。您的 EC2 实例或容器可能被盗用。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与已知滥用域相关联的低信誉域名。

默认严重级别：中

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与已知滥用域或滥用 IP 地址相关联的低信誉域。滥用域的示例：提供免费子域注册的顶级域名（TLD）和二级域名（2LD），以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域，因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发，因此列出的 Amazon EC2 实例或容器可能会被盗用。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与加密货币相关活动相关联的低信誉域名。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与比特币或其他加密货币相关活动相关联的低信誉域名。威胁行为者可能会试图控制计算资源，恶意将这些资源重新用于未经授权的加密货币挖掘。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果您使用此 EC2 实例或容器挖掘或管理加密货币，或这些资源以其他方式参与区块链活动，则该调查发现可能表示您环境的预期活动。如果您的 Amazon 环境中出现这种情况，我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 Impact:Runtime/BitcoinDomainRequest.Reputation。第二个筛选条件应是实例的实例 ID 或容器的容器镜像 ID，此类实例或容器涉及加密货币或区块链相关活动。有关更多信息，请参阅抑制规则。

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与已知恶意域相关的低信誉域。

默认严重级别：高

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询与已知恶意域或恶意 IP 地址相关联的低信誉域。例如，域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域，如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2 实例或容器正在查询低信誉域名，该域名由于过时或受欢迎程度低而具有可疑性。

默认严重级别：低

此调查发现通知您，您 Amazon 环境中列出的 EC2 实例或容器，正在查询疑似恶意的低信誉域名。我们注意到该域的特征与之前观察到的恶意域一致，但我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的，或者接收到的流量较少。

低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序，以确定其是否可能是恶意域。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2 实例或容器正在执行解析到实例元数据服务的 DNS 查找。

默认严重级别：高

这一发现告诉您，您的 Amazon 环境中的 EC2 实例或容器正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据，包括与该实例关联的 IAM 凭证。

DNS 重新绑定需要引诱在 EC2 实例上运行的应用程序，以加载从 URL 返回的数据，该 URL 中的域名解析到 EC2 元数据 IP 地址（169.254.169.254）。这会导致应用程序访问 EC2 元数据，并可能使其为攻击者所用。

如果该 EC2 实例正在运行允许注入 URL 的应用程序，且该应用程序存在漏洞；或者如果某用户在该 EC2 实例上运行的 Web 浏览器中，访问该 URL，则可以使用 DNS 重新绑定来访问 EC2 元数据。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

为了解决此调查发现，您应该考虑 EC2 实例或容器上是否运行有漏洞的应用程序，或者某用户是否使用浏览器来访问调查发现中标识的域。如果根本原因在于有漏洞的应用程序，则修复漏洞。如果是由于某用户已浏览标识的域，则阻止该域或阻止用户进行访问。如果您确定调查发现属于以上任一种情况，则撤销与 EC2 实例相关联的会话。

一些 Amazon 客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的 环境中出现这种情况，我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用调查发现类型属性，其值为 UnauthorizedAccess:Runtime/MetaDataDNSRebind。第二个筛选条件应是 DNS 请求域或容器的容器镜像 ID。DNS 请求域的值应与已映射到元数据 IP 地址（169.254.169.254）的域匹配。有关创建抑制规则的信息，请参阅抑制规则。

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Execution:Runtime/NewBinaryExecuted

已执行容器中新创建或最近修改的二进制文件。

默认严重级别：中

此调查发现通知您，容器中新创建或最近修改的二进制文件已执行。最佳做法是保持容器在运行时系统不可变，并且不应在容器的生命周期内创建或修改二进制文件、脚本或库。此行为表示获得容器访问权限的恶意行为者下载并执行了恶意软件或其他软件，这是潜在入侵的一部分。尽管这种类型的活动可能表明存在漏洞，但它也是一种常见的使用模式。因此， GuardDuty 使用机制来识别此活动的可疑实例，并仅针对可疑实例生成此发现类型。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

PrivilegeEscalation:Runtime/DockerSocketAccessed

容器内的进程正在使用 Docker 套接字与 Docker 进程守护程序通信。

默认严重级别：中

Docker 套接字是一个 Unix 域套接字，Docker 进程守护程序（dockerd）用以与其客户端进行通信。客户端可以执行各种操作，例如通过 Docker 套接字与 Docker 进程守护程序通信来创建容器。容器进程访问 Docker 套接字是可疑的。容器进程可以通过与 Docket 套接字通信并创建特权容器，来脱离容器并获得主机级访问权限。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

PrivilegeEscalation:Runtime/RuncContainerEscape

检测到有人试图获取容器的主机访问权限。

默认严重级别：高

此调查发现通知您，主机 runC 二进制文件可能已覆盖。runC 是高级容器运行时系统（例如 Docker 和 Containerd），用来生成和运行容器的低级容器运行时系统。runC 始终以根权限执行，因为其需要执行创建容器的低级任务。过去有一个众所周知的漏洞 ¹ 允许恶意容器覆盖主机的 runC 二进制文件，并在执行修改后的 runC 二进制文件时获得对主机的根级访问权限。

这一调查发现还可能表明，恶意行为者可能在以下两种容器之一中执行了命令：

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

在 Amazon EKS 集群中检测到容器通过 runC 逃逸。

默认严重级别：高

此调查发现通知您，已检测到有人试图修改控制组（cgroup）发布代理文件。Linux 使用控制组（cgroup）来限制、说明和隔离一组进程的资源使用情况。每个控制组都有一个发布代理文件（release_agent），该文件是一个脚本，当控制组内的任何进程终止时，Linux 会执行该脚本。发布代理文件始终在主机级别执行。通过向属于某个 cgroup 的发布代理文件写入任意命令，容器内的攻击者可以逃逸到主机。当该控制组内部的进程终止时，就会执行威胁行为者编写的命令。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

DefenseEvasion:Runtime/ProcessInjection.Proc

在容器或 Amazon EC2 实例中检测到使用 proc 文件系统的进程注入。

默认严重级别：高

进程注入是威胁行为者使用的一种技术，用来向进程注入代码以逃避防御，并有可能提升权限。proc 文件系统（procfs）是 Linux 中的一种特殊文件系统，以文件的形式呈现进程的虚拟内存。该文件的路径是 /proc/PID/mem，其中 PID 是进程的唯一 ID。威胁行为者可以写入此文件，以向该进程注入代码。此调查发现可识别他人可能尝试向该文件的写入操作。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源类型可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

DefenseEvasion:Runtime/ProcessInjection.Ptrace

在容器或 Amazon EC2 实例中检测到使用 ptrace 系统调用的进程注入。

默认严重级别：中

进程注入是威胁行为者使用的一种技术，用来向进程注入代码以逃避防御，并有可能提升权限。某个进程可以使用 ptrace 系统调用，将代码注入另一个进程。此调查发现可识别他人可能尝试使用 ptrace 系统调用向进程注入代码的操作。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源类型可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

在容器或 Amazon EC2 实例中检测到通过直接写入虚拟内存进行进程注入。

默认严重级别：高

进程注入是威胁行为者使用的一种技术，用来向进程注入代码以逃避防御，并有可能提升权限。进程可以使用系统调用，例如 process_vm_writev 直接向另一个进程的虚拟内存注入代码。此调查发现可识别他人可能尝试使用系统调用向进程注入代码，从而向该进程的虚拟内存进行写入操作。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源类型可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Execution:Runtime/ReverseShell

容器或 Amazon EC2 实例中的进程创建了反向 Shell。

默认严重级别：高

反向 Shell 是一种在连接上创建的 Shell 会话，该连接从目标主机到威胁行为者主机。反向 Shell 与从攻击者主机向目标主机发起的普通 Shell 相反。威胁行为者在获得对目标的初始访问权限后，会创建一个反向 Shell 对目标执行命令。此调查发现可识别创建反向 Shell 的潜在尝试。

修复建议：

如果此活动是意外活动，则您的资源类型可能已被盗用。

DefenseEvasion:Runtime/FilelessExecution

容器或 Amazon EC2 实例中的进程正在执行内存中的代码。

默认严重级别：中

当使用磁盘上的内存中可执行文件执行进程时，此调查发现会告知您这一情况。这是一种常见的防御逃避技术，可避免将恶意可执行文件写入磁盘，以逃避基于文件系统扫描的检测。尽管这种技术被恶意软件利用，但也有一些合法的用例。其中一个例子是 just-in-time （JIT）编译器，它将编译后的代码写入内存并从内存中执行。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Impact:Runtime/CryptoMinerExecuted

容器或 Amazon EC2 实例正在执行与加密货币挖掘活动相关联的二进制文件。

默认严重级别：高

这一发现告诉您，您的 Amazon 环境中的容器或 EC2 实例正在执行与加密货币挖矿活动关联的二进制文件。威胁行为者可能会试图控制计算资源，恶意将这些资源重新用于未经授权的加密货币挖掘。

运行时系统代理监控来自多种资源类型的事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台的查找结果面板中查看资源类型。

修复建议：

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty 控制台的调查结果详细信息中查看资源类型并查看修复运行时监控结果。

Execution:Runtime/NewLibraryLoaded

新创建或最近修改的库由容器内的进程加载。

默认严重级别：中

此调查发现通知您，运行时系统期间在容器内创建或修改了库，并由在容器内运行的进程加载。最佳做法是保持容器在运行时系统不可变，不要在容器的生命周期内创建或修改二进制文件、脚本或库。在容器中加载新创建或修改的库，可能代表可疑活动。此行为表明，恶意行为者可能已获得对容器的访问权限，下载并执行了恶意软件或其他软件，属于潜在攻击行为的一部分。尽管这种类型的活动可能表明存在漏洞，但它也是一种常见的使用模式。因此， GuardDuty 使用机制来识别此活动的可疑实例，并仅针对可疑实例生成此发现类型。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

容器内的进程在运行时系统挂载了主机文件系统。

默认严重级别：中

多种容器逃逸技术都包括在运行时将主机文件系统挂载到容器内。此调查发现通知您，容器内的进程可能尝试挂载主机文件系统，可能表明有人试图逃逸到主机。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

PrivilegeEscalation:Runtime/UserfaultfdUsage

进程使用 userfaultfd 系统调用来处理用户空间中的页面错误。

默认严重级别：中

通常，页面错误由内核在内核空间中处理。但是，userfaultfd 系统调用允许进程在用户空间中处理文件系统上的页面错误。此功能十分实用，可以实施用户空间文件系统。而且，潜在的恶意进程也可以利用此功能从用户空间中断内核。使用 userfaultfd 系统调用中断内核是一种常见的利用技术，用于在利用内核竞争条件时延长竞争窗口有效期限。使用 userfaultfd 将表示 Amazon Elastic Compute Cloud（Amazon EC2）实例存在可疑活动。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Execution:Runtime/SuspiciousTool

容器或 Amazon EC2 实例正在运行二进制文件或脚本，该文件或脚本经常用于攻击性安全场景，例如渗透测试活动。

默认严重级别：可变

这一发现的严重程度可以是高或低，这取决于检测到的可疑工具是双重用途还是仅用于攻击性用途。

此发现告知您已在您的 Amazon 环境中的 EC2 实例或容器上执行了可疑工具。这包括渗透测试活动中使用的工具，也称为后门工具、网络扫描仪和网络嗅探器。所有这些工具都可以在良性环境中使用，但也经常被具有恶意意图的威胁行为者使用。观察攻击性安全工具可能表明关联的 EC2 实例或容器已遭到入侵。

GuardDuty 检查相关的运行时活动和上下文，以便只有当关联的活动和上下文可能存在可疑时，它才会生成此结果。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Execution:Runtime/SuspiciousCommand

已在 Amazon EC2 实例或容器上执行了可疑命令，表明存在漏洞。

默认严重级别：可变

根据观察到的恶意模式的影响，这种发现类型的严重性可以是低、中或高。

此发现告知您已执行可疑命令，这表明您的 Amazon 环境中的 Amazon EC2 实例或容器已遭到入侵。这可能意味着要么从可疑来源下载文件然后执行，要么正在运行的进程在其命令行中显示已知的恶意模式。这进一步表明系统上正在运行恶意软件。

GuardDuty 检查相关的运行时活动和上下文，以便只有当关联的活动和上下文可能存在可疑时，它才会生成此结果。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

DefenseEvasion:Runtime/SuspiciousCommand

已在列出的 Amazon EC2 实例或容器上执行命令，它试图修改或禁用 Linux 防御机制，例如防火墙或基本系统服务。

默认严重级别：可变

根据修改或禁用的防御机制，此发现类型的严重性可以是高、中或低。

此发现告诉您，已执行了一个试图向本地系统的安全服务隐藏攻击的命令。这包括禁用 Unix 防火墙、修改本地 IP 表、删除crontab条目、禁用本地服务或接管LDPreload功能等操作。任何修改都是高度可疑的，并且是潜在的泄露迹象。因此，这些机制可以检测或防止系统的进一步损害。

GuardDuty 检查相关的运行时活动和上下文，以便只有当关联的活动和上下文可能存在可疑时，它才会生成此结果。

运行时系统代理监控来自多个资源的事件。要识别可能受到威胁的资源，请在 GuardDuty控制台的发现结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

DefenseEvasion:Runtime/PtraceAntiDebugging

容器或 Amazon EC2 实例中的进程已使用 ptrace 系统调用执行了反调试措施。

默认严重级别：低

这一发现表明，在 Amazon EC2 实例或 Amazon 环境中的容器上运行的进程使用了带有PTRACE_TRACEME选项的 ptrace 系统调用。此活动会导致连接的调试器与正在运行的进程分离。如果未连接调试器，则无效。但是，这种活动本身就引起了人们的怀疑。这可能表明系统上正在运行恶意软件。恶意软件经常使用反调试技术来逃避分析，这些技术可以在运行时被检测到。

GuardDuty 检查相关的运行时活动和上下文，以便只有当关联的活动和上下文可能存在可疑时，它才会生成此结果。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。

Execution:Runtime/MaliciousFileExecuted

已在 Amazon EC2 实例或容器上执行了已知的恶意可执行文件。

默认严重级别：高

这一发现告诉您，已在 Amazon EC2 实例或您 Amazon 环境中的容器上执行了已知的恶意可执行文件。这有力地表明实例或容器可能遭到入侵，并且恶意软件已被执行。

恶意软件经常使用反调试技术来逃避分析，这些技术可以在运行时被检测到。

GuardDuty 检查相关的运行时活动和上下文，以便只有当关联的活动和上下文可能存在可疑时，它才会生成此结果。

运行时系统代理监控来自多个资源的事件。要识别受影响的资源，请在 GuardDuty控制台的调查结果详细信息中查看资源类型。

修复建议：

如果此活动是意外活动，则您的资源可能已被盗用。有关更多信息，请参阅 修复运行时监控结果。