Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

EKS 运行时监控查找类型

亚马逊GuardDuty生成以下 EKS 运行时监控结果，根据来自 Amazon EKS 集群中 EC2 主机和容器的操作系统级行为来指出潜在威胁。

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2 实例或容器正在查询与加密货币相关活动相关的 IP 地址。

默认严重性：高

这一发现通知您，您Amazon环境中列出的 EC2 实例或容器正在查询与加密货币相关活动相关的 IP 地址。威胁参与者可能会试图控制计算资源，恶意将其重新用于未经授权的加密货币挖矿。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果您使用此 EC2 实例或容器来开采或管理加密货币，或者其中任何一个以其他方式参与区块链活动，则该CryptoCurrency:Runtime/BitcoinTool.B发现可能代表您环境的预期活动。如果您的Amazon环境是这种情况，我们建议您为此发现设置禁止规则。禁止规则应由两个筛选条件组成。第一个筛选条件应使用值为的查找类型属性CryptoCurrency:Runtime/BitcoinTool.B。第二个筛选条件应该是实例的实例 ID 或参与加密货币或区块链相关活动的容器的容器映像 ID。有关更多信息，请参阅禁止规则。

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Backdoor:Runtime/C&CActivity.B

Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的 IP。

默认严重性：高

此发现通知您，列出的 EC2 实例或Amazon环境中的容器正在查询与已知命令和控制 (C&C) 服务器关联的 IP。列出的实例或容器可能遭到入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备，可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

UnauthorizedAccess:Runtime/TorRelay

您的 Amazon EC2 实例或容器正作为 Tor 中继与 Tor 网络建立连接。

默认严重性：高

这一发现告诉您，您的Amazon环境中的 EC2 实例或容器正在与 Tor 网络建立连接，这表明它充当了 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继来提高通信的匿名性。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

UnauthorizedAccess:Runtime/TorClient

您的亚马逊 EC2 实例或容器正在与 Tor Guard 或授权节点建立连接。

默认严重性：高

这一发现通知您，您的Amazon环境中的 EC2 实例或容器正在与 Tor Guard 或 Authority 节点建立连接。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表明此 EC2 实例或容器可能已被入侵，并在 Tor 网络上充当客户端。此发现可能表明未经授权访问了您的Amazon资源，目的是隐藏攻击者的真实身份。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/BlackholeTraffic

Amazon EC2 实例或容器正试图与已知黑洞的远程主机的 IP 地址进行通信。

默认严重程度：中

这一发现告诉您，列出的 EC2 实例或Amazon环境中的容器可能遭到入侵，因为它正在尝试与黑洞（或沉洞）的 IP 地址通信。黑洞是指网络中传入或传出的流量在不通知来源数据未到达预定接收方的情况下静默丢弃的地方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/DropPoint

Amazon EC2 实例或容器正试图与已知持有恶意软件捕获的证书和其他被盗数据的远程主机的 IP 地址进行通信。

默认严重程度：中

这一发现通知您，您的Amazon环境中的 EC2 实例或容器正试图与已知持有证书和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2 实例或容器正在查询与加密货币活动相关的域名。

默认严重性：高

这一发现通知您，您Amazon环境中列出的EC2实例或容器正在查询与比特币或其他加密货币相关活动相关的域名。威胁参与者可能会试图控制计算资源，以便恶意将其重新用于未经授权的加密货币挖矿。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果您使用此 EC2 实例或容器来开采或管理加密货币，或者其中任何一个以其他方式参与区块链活动，则该CryptoCurrency:Runtime/BitcoinTool.B!DNS发现可能是您的环境的预期活动。如果您的Amazon环境是这种情况，我们建议您为此发现设置禁止规则。抑制规则应包含两个过滤标准。第一个条件应使用 Finding type (调查结果类型) 属性，其值为 CryptoCurrency:Runtime/BitcoinTool.B!DNS。第二个筛选条件应该是实例的实例 ID 或参与加密货币或区块链活动的容器的容器映像 ID。有关更多信息，请参阅禁止规则。

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的域名。

默认严重性：高

此发现通知您，列出的 EC2 实例或Amazon环境中的容器正在查询与已知命令和控制 (C&C) 服务器关联的域名。列出的 EC2 实例或容器可能遭到入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备，可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息，例如信用卡号。根据僵尸网络的用途和结构，C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2 实例或容器正在查询被重定向到黑洞 IP 地址的域名。

默认严重程度：中

此发现告知您列出的 EC2 实例或Amazon环境中的容器可能遭到入侵，因为它正在查询被重定向到黑洞 IP 地址的域名。黑洞是指网络中传入或传出的流量在不通知来源数据未到达预定接收方的情况下静默丢弃的地方。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/DropPoint!DNS

Amazon EC2 实例或容器正在查询远程主机的域名，该域名已知持有恶意软件捕获的证书和其他被盗数据。

默认严重程度：中

这一发现告知您，您的Amazon环境中的 EC2 实例或容器正在查询远程主机的域名，该域名已知持有恶意软件捕获的凭证和其他被盗数据。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2 实例或容器正在查询通过算法生成的域。此类域通常被恶意软件使用，可能表明 EC2 实例或容器受损。

默认严重性：高

此发现通知您，您Amazon环境中列出的 EC2 实例或容器正在尝试查询域生成算法 (DGA) 域。您的资源可能已被盗用。

DGA 用于定期生成大量的域名，可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发出命令的计算机，僵尸网络是受一种常见恶意软件感染和控制的互联网连接设备的集合。大量潜在汇聚点的存在，使得有效关闭僵尸网络非常困难，因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2 实例或容器正在查询远程主机的域名，该域名是 Drive-By 下载攻击的已知来源。

默认严重性：高

这一发现告诉您，您Amazon环境中列出的 EC2 实例或容器可能遭到入侵，因为它正在查询远程主机的域名，该域名是已知的偷渡式下载攻击来源。这些是从互联网意外下载的计算机软件，可以启动病毒、间谍软件或恶意软件的自动安装。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2 实例或容器正在查询参与网络钓鱼攻击的域名。

默认严重性：高

这一发现通知您，您的Amazon环境中有一个 EC2 实例或容器正试图查询参与网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置，目的是诱使个人提供敏感数据，例如个人身份信息、银行和信用卡详细信息以及密码。您的 EC2 实例或容器可能正在尝试检索存储在钓鱼网站上的敏感数据，或者它可能正在尝试建立网络钓鱼网站。您的 EC2 实例或容器可能遭到入侵。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与已知滥用域名相关的低信誉域名。

默认严重程度：中

此发现通知您，您Amazon环境中列出的 EC2 实例或容器正在查询与已知的滥用域名或 IP 地址相关的低信誉域名。滥用域名的示例包括提供免费子域名注册的顶级域名 (TLD) 和二级域名 (2LD) 以及动态 DNS 提供商。威胁参与者倾向于使用这些服务免费或低成本注册域名。此类别中的低信誉域名也可能是解析到注册商的停放 IP 地址的过期域名，因此可能不再处于活动状态。parking IP 是注册商引导未链接到任何服务的域名的流量。列出的 Amazon EC2 实例或容器可能会遭到入侵，因为威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发。

低信誉域名基于信誉评分模型。该模型对域名的特征进行评估和排序，以确定其恶意的可能性。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与加密货币相关活动相关的低信誉域名。

默认严重性：高

这一发现通知您，列出的EC2实例或Amazon环境中的容器正在查询与比特币或其他加密货币相关活动相关的低信誉域名。威胁参与者可能会试图控制计算资源，恶意将其重新用于未经授权的加密货币挖矿。

低信誉域名基于信誉评分模型。该模型对域名的特征进行评估和排序，以确定其恶意的可能性。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果您使用此 EC2 实例或容器来开采或管理加密货币，或者如果这些资源以其他方式参与区块链活动，则此发现可能代表您的环境的预期活动。如果您的Amazon环境是这种情况，我们建议您为此发现设置禁止规则。禁止规则应由两个筛选条件组成。第一个筛选条件应使用值为的查找类型属性Impact:Runtime/BitcoinDomainRequest.Reputation。第二个筛选条件应该是实例的实例 ID 或者容器的容器映像 ID 涉及加密货币或区块链相关活动。有关更多信息，请参阅禁止规则。

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2 实例或容器正在查询与已知恶意域相关的低信誉域名。

默认严重性：高

此发现通知您，您Amazon环境中列出的 EC2 实例或容器正在查询与已知恶意域或 IP 地址相关的低信誉域名。例如，域可能与已知的污水洞 IP 地址相关联。Sinkholed 域是以前由威胁参与者控制的域，向它们发出的请求可能表明该实例已被入侵。这些域名也可能与已知的恶意活动或域名生成算法相关。

低信誉域名基于信誉评分模型。该模型对域名的特征进行评估和排序，以确定其恶意的可能性。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2 实例或容器正在查询低信誉的域名，该域名因其年代久远或受欢迎程度低而在本质上是可疑的。

默认严重性：低

这一发现通知您，您Amazon环境中列出的 EC2 实例或容器正在查询一个被怀疑为恶意的低信誉域名。注意到该域的特征与先前观察到的恶意域一致，但是，我们的信誉模型无法明确将其与已知威胁联系起来。这些域通常是新观察到的，或者接收的流量很少。

低信誉域名基于信誉评分模型。该模型对域名的特征进行评估和排序，以确定其恶意的可能性。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2 实例或容器正在执行解析为实例元数据服务的 DNS 查询。

默认严重性：高

这一发现通知您，您的Amazon环境中的 EC2 实例或容器正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据，包括与该实例相关的 IAM 证书。

DNS 重新绑定涉及欺骗在 EC2 实例上运行的应用程序从 URL 加载返回数据，其中 URL 中的域名解析为 EC2 元数据 IP 地址 ()。169.254.169.254这会导致应用程序访问 EC2 元数据，并可能使其为攻击者所用。

只有当 EC2 实例正在运行允许注入 URL 的易受攻击的应用程序，或者有人在 EC2 实例上运行的 Web 浏览器中访问该 URL 时，才有可能使用 DNS 重新绑定访问 EC2 元数据。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

作为对这一发现的回应，您应评估 EC2 实例或容器上是否有易受攻击的应用程序在运行，或者是否有人使用浏览器访问了调查结果中确定的域。如果根本原因是有漏洞的应用程序，请修复漏洞。如果有人浏览了已识别的域，请封锁该域或阻止用户访问该域。如果您确定此发现与上述任一案例有关，请撤消与 EC2 实例关联的会话。

一些Amazon客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的环境中出现这种情况，我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个筛选条件应使用值为的查找类型属性UnauthorizedAccess:Runtime/MetaDataDNSRebind。第二个过滤条件应该是容器的 DNS 请求域或容器镜像 ID。DNS 请求域值应与您映射到元数据 IP 地址的域相匹配 (169.254.169.254)。有关创建禁止规则的信息，请参阅禁止规则。

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Execution:Runtime/NewBinaryExecuted

容器中新创建或最近修改的二进制文件已执行。

默认严重程度：中

此发现通知您，容器中新创建或最近修改的二进制文件已执行。最佳做法是在运行时保持容器不可变，并且不应在容器的生命周期内创建或修改二进制文件、脚本或库。非常怀疑新创建的二进制文件是在容器环境中执行的。这种行为表明恶意行为者已经获得了工作负载的访问权限，并下载并执行了恶意软件或其他软件，这是潜在入侵的一部分。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

PrivilegeEscalation:Runtime/DockerSocketAccessed

容器内的进程正在使用 Docker 套接字与 Docker 守护程序通信。

默认严重程度：中

Docker 套接字是一个 Unix 域套接字，Docker 守护程序 (dockerd) 使用它与其客户端进行通信。客户端可以执行各种操作，例如通过 Docker 套接字与 Docker 守护程序通信来创建容器。容器进程访问 Docker 套接字是可疑的。容器进程可以通过与 Docket 套接字通信并创建特权容器来逃离容器并获得主机级访问权限。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

PrivilegeEscalation:Runtime/RuncContainerEscape

检测到有人试图获取容器主机访问权限。

默认严重性：高

这一发现告知您主机的 runC 二进制文件可能已被覆盖。runC 是低级容器运行时，如 Docker 和 Containerd，用于生成和运行容器。runC 始终以 root 权限执行，因为它需要执行创建容器的低级任务。过去的一个众所周知的漏洞（CVE-2019-5736 D etail）允许恶意容器覆盖主机的 runC 二进制文件，并在执行修改后的 runC 二进制文件时获得对主机的根级访问权限。

这一发现还可能表明恶意行为者可能在以下两种类型的容器之一中执行了命令：

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

在 Amazon EKS 集群中检测到通过 runC 逃出容器。

默认严重性：高

此发现通知您，已检测到有人试图修改控制组 (cgroup) 发布代理文件。Linux 使用控制组 (cgroup) 来限制、说明和隔离一组进程的资源使用情况。每个 cgroup 都有一个发布代理文件 (release_agent)，这是 Linux 在 cgroup 内部的任何进程终止时执行的脚本。发布代理文件总是在主机级别执行。容器内的威胁参与者可以通过向属于 cgroup 的发布代理文件写入任意命令来逃往主机。当该 cgroup 内部的进程终止时，由操作者编写的命令就会被执行。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

DefenseEvasion:Runtime/ProcessInjection.Proc

在容器或 Amazon EC2 实例中检测到使用 proc 文件系统的进程注入。

默认严重性：高

进程注入是威胁参与者用来向进程注入代码以逃避防御并可能提升权限的一种技术。proc 文件系统 (procfs) 是 Linux 中的一种特殊文件系统，它将进程的虚拟内存呈现为文件。该文件的路径是/proc/PID/mem，其中PID是进程的唯一 ID。威胁参与者可以写入此文件以将代码注入进程。此发现发现了可能有人试图写入此文件。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源类型可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

DefenseEvasion:Runtime/ProcessInjection.Ptrace

在容器或 Amazon EC2 实例中检测到使用 ptrace 系统调用的进程注入。

默认严重程度：中

进程注入是威胁参与者用来向进程注入代码以逃避防御并可能提升权限的一种技术。一个进程可以使用 ptrace 系统调用将代码注入另一个进程。这一发现表明有人可能试图使用 ptrace 系统调用向进程注入代码。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源类型可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

在容器或 Amazon EC2 实例中检测到通过直接写入虚拟内存进行进程注入。

默认严重性：高

进程注入是威胁参与者用来向进程注入代码以逃避防御并可能提升权限的一种技术。一个进程可以使用系统调用，例如process_vm_writev将代码直接注入另一个进程的虚拟内存中。这一发现表明有人可能试图使用系统调用向进程注入代码以写入该进程的虚拟内存。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源类型可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Execution:Runtime/ReverseShell

容器或 Amazon EC2 实例中的进程创建了反向外壳。

默认严重性：高

反向 shell 是在从目标主机到角色主机的连接上创建的 shell 会话。这与从角色的主机启动到目标宿主的普通外壳相反。威胁行为者在获得对目标的初始访问权限后，会创建反向外壳以对目标执行命令。这一发现表明有人可能试图制造反向外壳。

补救建议：

如果此活动出乎意料，则您的资源类型可能已遭到破坏。

DefenseEvasion:Runtime/FilelessExecution

容器或 Amazon EC2 实例中的进程正在执行内存中的代码。

默认严重程度：中

此发现会通知您何时使用磁盘上的内存中的可执行文件执行进程。这是一种常见的防御规避技术，可避免将恶意可执行文件写入磁盘以逃避基于文件系统扫描的检测。尽管恶意软件使用了这种技术，但它也有一些合法的用例。其中一个例子是just-in-time（JIT）编译器，它将编译后的代码写入内存并从内存中执行。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

Impact:Runtime/CryptoMinerExecuted

容器或 Amazon EC2 实例正在执行与加密货币挖矿活动相关的二进制文件。

默认严重性：高

这一发现通知您，您的Amazon环境中的容器或 EC2 实例正在执行与加密货币挖矿活动相关的二进制文件。威胁参与者可能会试图控制计算资源，恶意将其重新用于未经授权的加密货币挖矿。

运行时代理监视来自多种资源类型的事件。要识别可能被盗的资源，请在GuardDuty控制台的发现面板中查看资源类型。

补救建议：

运行时代理监视来自多个资源的事件。要识别受影响的资源，请在GuardDuty控制台的发现详细信息中查看资源类型，然后参见修复 EKS 运行时监控结果。

Execution:Runtime/NewLibraryLoaded

新创建或最近修改的库由容器内的进程加载。

默认严重程度：中

这一发现告诉你，一个库是在运行时在容器内创建或修改的，并由容器内运行的进程加载。最佳做法是在运行时保持容器不可变，而不是在容器的生命周期内创建或修改二进制文件、脚本或库。在容器中加载新创建或修改的库可能表示存在可疑活动。此行为表明恶意行为者可能获得了容器的访问权限，下载并执行了恶意软件或其他软件，这是潜在入侵的一部分。

运行时代理监视来自多个资源的事件。要识别受影响的资源，请在GuardDuty控制台的发现详细信息中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

容器内的进程在运行时挂载了主机文件系统。

默认严重程度：中

多容器转义技术涉及在运行时在容器内安装主机文件系统。这一发现告诉你，容器内的某个进程可能试图装载主机文件系统，这可能表明有人试图逃到主机。

运行时代理监视来自多个资源的事件。要识别受影响的资源，请在GuardDuty控制台的发现详细信息中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅修复 EKS 运行时监控结果：

PrivilegeEscalation:Runtime/UserfaultfdUsage

一个进程使用userfaultfd系统调用来处理用户空间中的页面错误。

默认严重程度：中

通常，页面错误由内核空间中的内核处理。但是，userfaultfd系统调用允许进程在用户空间中处理文件系统上的页面错误。这是一项有用的功能，可以实现用户空间文件系统。另一方面，它也可能被潜在的恶意进程用来从用户空间中断内核。使用userfaultfd系统调用中断内核是一种常见的利用技术，用于在利用内核竞争条件时延长竞赛窗口。使用userfaultfd可能表示亚马逊弹性计算云 (Amazon EC2) 实例上存在可疑活动。

运行时代理监视来自多个资源的事件。要识别受影响的资源，请在GuardDuty控制台的发现详细信息中查看资源类型。

补救建议：

如果此活动出乎意料，则您的资源可能已遭到破坏。有关更多信息，请参阅 修复 EKS 运行时监控结果。