GuardDuty EC2 查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty EC2 查找类型

以下发现是特定于 Amazon EC2 资源的,其资源类型始终为Instance。调查结果的严重性和详细信息因资源角色而异,资源角色表明 EC2 资源是可疑活动的目标还是执行活动的参与者。

此处列出的发现包括用于生成该发现类型的数据源和模型。有关数据源和模型的更多信息,请参阅基础数据源

注意

如果某些 EC2 发现的实例已经终止,或者如果底层 API 调用是源自不同区域的 EC2 实例的跨区域 API 调用的一部分,则可能缺少实例详细信息。

对于所有 EC2 调查结果,建议您检查相关资源以确定其行为是否符合预期。如果活动获得授权,则可以使用禁止规则或可信 IP 列表来防止该资源收到误报通知。如果活动出乎意料,则最佳安全做法是假设实例已被入侵,并采取中详述的操作修复受感染的 Amazon EC2 实例

Backdoor:EC2/C&CActivity.B

EC2 实例正在查询与已知命令和控制服务器关联的 IP。

默认严重性:高

  • 数据源:VPC 流日志

此发现通知您,您的Amazon环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器关联的 IP。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备,可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

注意

如果查询的 IP 与 log4j 相关,则相关查找结果的字段将包含以下值:

  • 服务。附加信息。 threatListName = 亚马逊

  • service.additionalInfo.ThreatName = log

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/C&CActivity.B!DNS

EC2 实例正在查询与已知命令和控制服务器关联的域名。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器关联的域名。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备,可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

注意

如果查询的域名与 log4j 相关,则相关查找结果的字段将包含以下值:

  • 服务。附加信息。 threatListName = 亚马逊

  • service.additionalInfo.ThreatName = log

注意

要测试如何 GuardDuty 生成此查找结果类型,您可以从您的实例(用dig于 Linux 或nslookup Windows)针对测试域发出 DNS 请求guarddutyc2activityb.com

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明它正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量出站 DNS 流量。这可能表明列出的实例已被入侵并被用来使用 DNS 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式表明它正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量出站 TCP 流量。这可能表明该实例已被入侵并被用来使用 TCP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式表明它正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量出站 UDP 流量。这可能表明列出的实例已被入侵并被用来使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量的出站 UDP 流量,这些流量指向通常用于 TCP 通信的端口。这可能表明列出的实例已遭到入侵,正被用来在 TCP 端口上使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明它正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在从一种不寻常的协议类型(例如 Internet Group Management Protocol)生成大量出站流量,而 EC2 实例通常不使用这种协议。这可能表明该实例已被入侵,正被用来使用异常协议执行 denial-of-service (DoS) 攻击。此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Backdoor:EC2/Spambot

EC2 实例通过与端口 25 上的远程主机通信表现出异常行为。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在与端口 25 上的远程主机通信。这是异常行为,因为此 EC2 实例以前没有在端口 25 上通信的历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。此调查结果表明 EC2 实例可能已遭盗用,并被用于发送垃圾邮件。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例的行为偏离了既定基准。此 EC2 实例以前没有在该远程端口上通信的历史记录。

注意

如果 EC2 实例在端口 389 或端口 1389 上通信,则相关的查找严重性将修改为 “高”,并且查找字段将包含以下值:

  • service.additionionalInfo.context = 可能的

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Behavior:EC2/TrafficVolumeUnusual

EC2 实例正在生成异常大量的网络流量到远程主机。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例的行为偏离了既定基准。此 EC2 实例以前没有发送这种大量流量到该远程主机的历史记录。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在查询与比特币或其他加密货币相关活动相关的 IP 地址。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是对比特币挖矿的奖励,受到威胁者的高度追捧。

补救建议:

如果您使用此 EC2 实例挖矿或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能是您的环境的预期活动。如果您的Amazon环境属于这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅抑制规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受感染的 Amazon EC2 实例

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 实例正在查询与加密货币相关活动关联的域名。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在查询与比特币或其他加密货币相关活动相关的域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是对比特币挖矿的奖励,受到威胁者的高度追捧。

补救建议:

如果您使用此 EC2 实例挖矿或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能是您的环境的预期活动。如果您的Amazon环境属于这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅抑制规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受感染的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDNSResolver

一个 Amazon EC2 实例正在与一个不寻常的公有 DNS 解析器通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 Amazon EC2 实例的行为与基准行为有所不同。此 EC2 实例最近没有与该公有 DNS 解析器通信的历史记录。 GuardDuty 控制台查找结果详细信息面板中的 “异常” 字段可以提供有关所查询的 DNS 解析器的信息。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2 实例正在通过 HTTPS (DoH) 通信执行异常的 DNS。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您Amazon环境中列出的 Amazon EC2 实例的行为偏离了既定基准。此 EC2 实例最近没有任何通过 HTTPS (DoH) 与该公共 DoH 服务器进行 DNS 通信的历史记录。查找结果详细信息中的 “异常” 字段可以提供有关所查询的 DoH 服务器的信息。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2 实例正在通过 TLS 进行不寻常的 DNS (DoT) 通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例的行为偏离了既定基准。此 EC2 实例最近没有任何通过 TLS 的 DNS (DoT) 与该公共 DoT 服务器进行通信的历史记录。查找结果详细信息面板中的 “异常” 字段可以提供有关所查询的 DoT 服务器的信息。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/AbusedDomainRequest.Reputation

EC2 实例正在查询与已知的滥用域名相关的低信誉域名。

默认严重性:中等

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 Amazon EC2 实例正在查询与已知的滥用域或 IP 地址相关的低信誉域名。滥用域名的例子包括提供免费子域名注册的顶级域名 (TLD) 和二级域名 (2LD) 以及动态 DNS 提供商。威胁行为者倾向于使用这些服务免费或低成本注册域名。此类别中的低信誉域名也可能是解析为注册商的停用 IP 地址的过期域名,因此可能不再有效。Parking IP 是注册商引导流量前往未链接到任何服务的域名的地方。列出的 Amazon EC2 实例可能会遭到入侵,因为威胁参与者通常使用这些注册商或服务进行 C&C 和恶意软件分发。

低信誉域基于信誉评分模型。该模型对域名的特征进行评估和排序,以确定其成为恶意域名的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 实例正在查询与加密货币相关活动相关的低信誉域名。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您Amazon环境中列出的 Amazon EC2 实例正在查询与比特币或其他加密货币相关活动相关的低信誉域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是对比特币挖矿的奖励,受到威胁者的高度追捧。

低信誉域基于信誉评分模型。该模型对域名的特征进行评估和排序,以确定其成为恶意域名的可能性。

补救建议:

如果您使用此 EC2 实例挖矿或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能代表您的环境的预期活动。如果您的Amazon环境属于这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅抑制规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 实例正在查询与已知恶意域相关的低信誉域。

默认严重性:高

  • 数据来源:DNS 日志

此发现告知您,您Amazon环境中列出的 Amazon EC2 实例正在查询与已知恶意域或 IP 地址相关的低信誉域名。例如,域可能与已知的污水坑 IP 地址相关联。Sinkholed 域名是以前由威胁行为者控制的域名,向它们发出的请求可能表明该实例已被入侵。这些域名也可能与已知的恶意活动或域名生成算法相关。

低信誉域基于信誉评分模型。该模型对域名的特征进行评估和排序,以确定其成为恶意域名的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/PortSweep

EC2 实例正在探测大量 IP 地址上的端口。

默认严重性:高

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在探测大量可公开路由 IP 地址上的端口。此类活动通常用于寻找易受攻击的主机。在 GuardDuty 控制台的查找详细信息面板中,仅显示最新的远程 IP 地址

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 实例正在查询低信誉域名,该域名本质上是可疑的,因为该域名已过时或不受欢迎程度。

默认严重性:低

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 Amazon EC2 实例正在查询一个可疑为恶意的低信誉域名。注意到该域的特征与之前观察到的恶意域一致,但是,我们的声誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的,或者接收的流量很少。

低信誉域基于信誉评分模型。该模型对域名的特征进行评估和排序,以确定其成为恶意域名的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Impact:EC2/WinRMBruteForce

一个 EC2 实例正在执行出站 Windows 远程管理暴力攻击。

默认严重性:低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性很低。如果您的 EC2 实例是用于执行暴力攻击的参与者,则此发现的严重性很高。

  • 数据源:VPC 流日志

此发现告知您,您的Amazon环境中列出的 EC2 实例正在执行 Windows 远程管理 (WinRM) 暴力攻击,目的是在基于 Windows 的系统上获取 Windows 远程管理服务的访问权限。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 实例具有未受保护的 EMR 相关端口,已知的恶意主机正在探测该端口。

默认严重性:高

  • 数据源:VPC 流日志

此发现告知您,列出的 EC2 实例上属于您Amazon环境中集群的一部分的与 EMR 相关的敏感端口未被安全组、访问控制列表 (ACL) 或 Linux IPtables 等主机防火墙阻止,并且互联网上的已知扫描程序正在积极探测该端口。可以触发此发现的端口,例如端口 8088(YARN Web UI 端口),可能用于远程代码执行。

补救建议:

您应阻止从 Internet 开放访问集群上的端口,并限制仅访问需要访问这些端口的特定 IP 地址。有关更多信息,请参阅 EMR 集群的安全组

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

默认严重性:低*

注意

此发现的默认严重性为 “低”。但是,如果正在探测的端口由(9200 或 9300)使用,则发现的严重性为 “高”。

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例上的端口未被安全组、访问控制列表 (ACL) 或 Linux IPTables 等主机防火墙阻止,并且互联网上的已知扫描程序正在积极探测该端口。

如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问,请参阅为 Windows 实例授权入站流量

补救建议:

这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的Amazon环境属于这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别哪个标准。有关创建禁止规则的更多信息,请参阅抑制规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受感染的 Amazon EC2 实例

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例可能参与了端口扫描攻击,因为它试图在短时间内连接到多个端口。端口扫描攻击的目的是找到打开的端口,以发现计算机正在运行哪些服务并识别其操作系统。

补救建议:

当在您的环境中的 EC2 实例上部署漏洞评估应用程序时,此发现可能是误报,因为这些应用程序会进行端口扫描,提醒您注意未正确配置的开放端口。如果您的Amazon环境属于这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别哪些标准。有关创建禁止规则的更多信息,请参阅抑制规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例可能会受到威胁,因为它正在尝试与黑洞(或沉孔)的 IP 地址通信。黑洞是网络中传入或传出的流量在不告知来源数据未到达预定接收方的情况下被默默丢弃的地方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/BlackholeTraffic!DNS

EC2 实例正在查询重定向到黑洞 IP 地址的域名。

默认严重性:中等

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例可能会遭到入侵,因为它正在查询被重定向到黑洞 IP 地址的域名。黑洞是网络中传入或传出的流量在不告知来源数据未到达预定接收方的情况下被默默丢弃的地方。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DGADomainRequest.B

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发出命令的计算机,僵尸网络是一组受常见恶意软件感染和控制的联网设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这一发现基于使用高级启发式方法对域名的分析,可能会识别出威胁情报源中不存在的新 DGA 域。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DGADomainRequest.C!DNS

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发出命令的计算机,僵尸网络是一组受常见恶意软件感染和控制的联网设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

这一发现基于威胁情报源中的已知DGA域。 GuardDuty

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DNSDataExfiltration

EC2 实例通过 DNS 查询泄露数据。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中列出的 EC2 实例正在运行使用 DNS 查询进行出站数据传输的恶意软件。这种类型的数据传输表明实例已被泄露,并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。举例而言,遭盗用 EC2 实例中的恶意软件可以将数据 (例如,您的信用卡号) 编码到 DNS 查询中,并将其发送到由攻击者控制的远程 DNS 服务器。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 实例正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。

默认严重性:高

  • 数据来源:DNS 日志

此发现告知您,您的Amazon环境中列出的 EC2 实例可能会遭到入侵,因为它正在查询远程主机的域名,而该域名是偷渡式下载攻击的已知来源。这些是从互联网意外下载的计算机软件,可能会触发病毒、间谍软件或恶意软件的自动安装。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告知您,您Amazon环境中的 EC2 实例正试图与已知持有恶意软件捕获的证书和其他被盗数据的远程主机的 IP 地址进行通信。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/DropPoint!DNS

EC2 实例正在查询已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的域名。

默认严重性:中等

  • 数据来源:DNS 日志

此发现告知您,您Amazon环境中的 EC2 实例正在查询远程主机的域名,该主机已知持有恶意软件捕获的证书和其他被盗数据。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

Trojan:EC2/PhishingDomainRequest!DNS

EC2 实例正在查询涉及网络钓鱼攻击的域。您的 EC2 实例可能遭盗用。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中有一个 EC2 实例正在尝试查询涉及网络钓鱼攻击的域。网络钓鱼域名是由冒充合法机构的人设置的,目的是诱使个人提供敏感数据,例如个人身份信息、银行和信用卡详细信息以及密码。您的 EC2 实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者它可能正在尝试设置网络钓鱼网站。您的 EC2 实例可能遭盗用。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 实例正在与自定义威胁列表上的 IP 地址建立连接。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告知您,您Amazon环境中的 EC2 实例正在与您上传的威胁列表中包含的 IP 地址通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查结果的威胁列表将在调查结果的详细信息中列出。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 实例正在执行解析为实例元数据服务的 DNS 查询。

默认严重性:高

  • 数据来源:DNS 日志

此发现告诉您,您的Amazon环境中的 EC2 实例正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类的 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据,包括与该实例关联的 IAM 证书。

DNS 重新绑定包括欺骗在 EC2 实例上运行的应用程序从 URL 加载返回数据,其中 URL 中的域名解析为 EC2 元数据 IP 地址 (169.254.169.254)。这会导致应用程序访问 EC2 元数据,并可能使其为攻击者所用。

只有当 EC2 实例正在运行允许注入 URL 的易受攻击的应用程序,或者有人在 EC2 实例上运行的 Web 浏览器中访问该 URL 时,才有可能使用 DNS 重新绑定访问 EC2 元数据。

补救建议:

为了回应这一发现,您应该评估 EC2 实例上是否有漏洞的应用程序在运行,或者是否有人使用浏览器访问了调查结果中确定的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果有人浏览了已识别的域,则应屏蔽该域或阻止用户访问该域。如果您确定此发现与上述任一案例有关,请撤消与 EC2 实例关联的会话

一些Amazon客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为 DNS request domain (DNS 请求域),并且值应与已映射到元数据 IP 地址 (169.254.169.254) 的域匹配。有关创建隐藏规则的更多信息,请参阅抑制规则

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

默认严重性:低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性很低。如果您的 EC2 实例是用于执行暴力攻击的参与者,则此发现的严重性很高。

  • 数据源:VPC 流日志

此发现告诉您,您Amazon环境中的 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Windows 的系统上的 RDP 服务的密码。这可能表示未经授权访问您的Amazon资源。

补救建议:

如果您的实例的资源角色ACTOR,则表示您的实例已被用于执行 RDP 暴力攻击。除非此实例有正当理由联系列出的 IP 地址Target,否则建议您假设您的实例已被入侵,然后采取中列出的操作修复受感染的 Amazon EC2 实例

如果您的实例的资源角色TARGET,则可以通过安全组、ACL 或防火墙将 RDP 端口保护到可信 IP,从而纠正这一发现。有关更多信息,请参阅保护 EC2 实例的提示 (Linux)

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例涉及到 SSH 暴力攻击中。

默认严重性:低*

注意

如果暴力攻击针对的是您的一个 EC2 实例,则此发现的严重性较低。如果您的 EC2 实例被用来执行暴力攻击,则此发现的严重性很高。

  • 数据源:VPC 流日志

此发现告诉您,您Amazon环境中的 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Linux 的系统上的 SSH 服务的密码。这可能表示未经授权访问您的Amazon资源。

注意

此调查结果仅通过在端口 22 上监控流量的 生成。如果 SSH 服务配置为使用其他端口,则不会生成此调查结果。

补救建议:

如果暴力攻击的目标是堡垒主机,则这可能代表您的Amazon环境的预期行为。如果是这种情况,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别哪些标准。有关创建禁止规则的更多信息,请参阅抑制规则

如果您的环境预计不会出现此活动,而您的实例的资源角色是,则可以通过安全组TARGET、ACL 或防火墙将 SSH 端口仅保护到可信 IP 来纠正这一发现。有关更多信息,请参阅保护 EC2 实例的提示 (Linux)

如果您的实例的资源角色ACTOR,则表示该实例已被用于执行 SSH 暴力攻击。除非此实例有正当理由联系列出的 IP 地址Target,否则建议您假设您的实例已被入侵,然后采取中列出的操作修复受感染的 Amazon EC2 实例

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

默认严重性:高

  • 数据源:VPC 流日志

这个发现告诉你,你的Amazon环境中的 EC2 实例正在连接到 Tor Guard 或权威节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。这些流量可能表明此 EC2 实例已被入侵,正在充当 Tor 网络上的客户端。此发现可能表明未经授权访问您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅修复受感染的 Amazon EC2 实例

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。

默认严重性:高

  • 数据源:VPC 流日志

这个发现告诉你,你Amazon环境中的 EC2 实例正在与 Tor 网络建立连接,这表明它在充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继来提高通信的匿名性。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅 修复受感染的 Amazon EC2 实例