GuardDuty EC2 查找类型 - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty EC2 查找类型

以下发现特定于 Amazon EC2 资源,资源类型始终为Instance。调查结果的严重性和详细信息因资源角色而异,资源角色表明 EC2 资源是可疑活动的目标还是执行活动的参与者。

此处列出的发现包括用于生成该发现类型的数据源和模型。有关数据源和模型的更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源

注意

如果某些 EC2 发现的实例已经终止,或者如果底层 API 调用是源自不同区域的 EC2 实例的跨区域 API 调用的一部分,则可能缺少实例详细信息。

对于所有 EC2 发现,建议您检查相关资源,以确定其行为是否符合预期。如果活动获得授权,则可以使用禁止规则或可信 IP 列表来防止针对该资源的误报通知。如果活动意外,安全最佳做法是假设实例已被入侵,然后采取中详述的操作修复受损的 EC2 实例

Backdoor:EC2/C&CActivity.B

一个 EC2 实例正在查询与已知命令和控制服务器关联的 IP。

默认严重性:高

  • 数据源:VPC 流日志

此发现通知您,您的Amazon环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器关联的 IP。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备,可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

注意

如果查询的 IP 与 log4j 相关,则关联查找结果的字段将包含以下值:

  • 服务。附加信息。 threatListName = 亚马逊

  • service.additioninfo.ThreatName = log

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/C&CActivity.B!DNS

一个 EC2 实例正在查询与已知命令和控制服务器关联的域名。

默认严重性:高

  • 数据源:DNS 日志

此发现通知您,您的Amazon环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器关联的域名。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发出命令的计算机。

僵尸网络是一组连接互联网的设备,可能包括受常见恶意软件感染和控制的 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

注意

如果查询的域名与 log4j 相关,则关联查找结果的字段将包含以下值:

  • 服务。附加信息。 threatListName = 亚马逊

  • service.additioninfo.ThreatName = log

注意

要测试如何 GuardDuty 生成此查找类型,您可以从您的实例(用dig于 Linux 或nslookup Windows)向测试域发出 DNS 请求guarddutyc2activityb.com

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明它正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量出站 DNS 流量。这可能表示列出的实例已被入侵并被用来使用 DNS 协议进行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式表明它正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量出站 TCP 流量。这可能表明该实例已被入侵并被用来使用 TCP 协议进行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式表明它正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量的出站 UDP 流量。这可能表示列出的实例已被入侵并被用来使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在生成大量的出站 UDP 流量,这些流量以通常用于 TCP 通信的端口为目标。这可能表示列出的实例已被入侵,正被用来在 TCP 端口上使用 UDP 协议执行 denial-of-service (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明它正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在从 EC2 实例通常不使用的异常协议类型(例如 Internet 组管理协议)生成大量出站流量。这可能表明该实例已被入侵,正被用来使用不寻常的协议进行 denial-of-service (DoS) 攻击。此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/Spambot

通过端口 25 与远程主机通信,EC2 实例表现出异常行为。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告知您Amazon环境中列出的 EC2 实例正在与端口 25 上的远程主机通信。这是异常行为,因为此 EC2 实例以前没有在端口 25 上通信的历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。此调查结果表明 EC2 实例可能已遭盗用,并被用于发送垃圾邮件。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

默认严重性:中等

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例的行为偏离了既定基准。此 EC2 实例以前没有在该远程端口上通信的历史记录。

注意

如果 EC2 实例通过端口 389 或端口 1389 进行通信,则相关的发现严重性将修改为 High,并且查找结果字段将包含以下值:

  • service.additioninfo.Context = 可能的

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Behavior:EC2/TrafficVolumeUnusual

EC2 实例正在生成异常大量的网络流量到远程主机。

默认严重性:中等

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例的行为偏离了既定基准。此 EC2 实例以前没有发送这种大量流量到该远程主机的历史记录。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在查询与比特币或其他加密货币相关活动相关的 IP 地址。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的追捧。

补救建议:

如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能是您的环境的预期活动。如果您的Amazon环境是这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅黑规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损的 EC2 实例

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 实例正在查询与加密货币相关活动关联的域名。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的EC2实例正在查询与比特币或其他加密货币相关活动相关的域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的追捧。

补救建议:

如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能是您的环境的预期活动。如果您的Amazon环境是这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅黑规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损的 EC2 实例

Impact:EC2/AbusedDomainRequest.Reputation

一个 EC2 实例正在查询与已知的滥用域相关的低信誉域名。

默认严重性:中等

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的 Amazon EC2 实例正在查询与已知的滥用域或 IP 地址相关的低信誉域名。滥用域名的示例包括提供免费子域名注册的顶级域名 (TLD) 和二级域名 (2LD) 以及动态 DNS 提供商。威胁行为者倾向于使用这些服务免费或低成本注册域名。此类别中信誉较低的域名也可能是解析为注册商停放 IP 地址的过期域名,因此可能不再处于活动状态。停放 IP 是注册商引导未链接到任何服务的域名的流量的地方。列出的 Amazon EC2 实例可能会遭到入侵,因为威胁参与者通常使用这些注册商或服务来分发 C&C 和恶意软件。

低信誉域名基于信誉评分模型。该模型对域的特征进行评估和排名,以确定其存在恶意的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Impact:EC2/BitcoinDomainRequest.Reputation

一个 EC2 实例正在查询与加密货币相关活动相关的低信誉域名。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的Amazon EC2实例正在查询与比特币或其他加密货币相关活动相关的低信誉域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的追捧。

低信誉域名基于信誉评分模型。该模型对域的特征进行评估和排名,以确定其存在恶意的可能性。

补救建议:

如果您使用此 EC2 实例来挖掘或管理加密货币,或者此实例以其他方式参与区块链活动,则此发现可能代表您的环境的预期活动。如果您的Amazon环境是这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅黑规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损的 EC2 实例

Impact:EC2/MaliciousDomainRequest.Reputation

一个 EC2 实例正在查询与已知恶意域相关的低信誉域。

默认严重性:高

  • 数据源:DNS 日志

此发现告知您,您的Amazon环境中列出的 Amazon EC2 实例正在查询与已知恶意域或 IP 地址相关的低信誉域名。例如,域名可能与已知的污水坑 IP 地址相关联。Sinkholed 域名是以前由威胁参与者控制的域名,向它们发出的请求可能表明该实例已被入侵。这些域名也可能与已知的恶意活动或域名生成算法相关。

低信誉域名基于信誉评分模型。该模型对域的特征进行评估和排名,以确定其存在恶意的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Impact:EC2/PortSweep

一个 EC2 实例正在探测大量 IP 地址上的端口。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在探测大量可公开路由的 IP 地址上的端口。此类活动通常用于寻找易受攻击的主机进行攻击。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 实例正在查询信誉较低的域名,该域名本质上是可疑的,因为该域名已过时或受欢迎程度低。

默认严重性:低

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的 Amazon EC2 实例正在查询被怀疑为恶意的低信誉域名。注意到该域的特征与之前观察到的恶意域一致,但是,我们的信誉模型是无法确切地将其与已知威胁联系起来。这些域名通常是新观察到的,或者收到的流量很少。

低信誉域名基于信誉评分模型。该模型对域的特征进行评估和排名,以确定其存在恶意的可能性。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Impact:EC2/WinRMBruteForce

一个 EC2 实例正在执行出站 Windows 远程管理暴力攻击。

默认严重性:低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性较低。如果您的 EC2 实例是用来执行暴力攻击的参与者,则此发现的严重性很高。

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在执行 Windows 远程管理 (WinRM) 暴力攻击,旨在获取对基于 Windows 的系统上的 Windows 远程管理服务的访问权限。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 实例有一个未受保护的 EMR 相关端口,已知的恶意主机正在探测该端口。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,所列出的 EC2 实例上属于您的Amazon环境中集群的 EMR 相关敏感端口未被安全组、访问控制列表 (ACL) 或主机防火墙(如 Linux IPTables)阻止,并且互联网上已知的扫描仪正在运行正在探测它。可以触发此发现的端口,例如端口 8088(YARN Web UI 端口),可能会用于远程代码执行。

补救建议:

您应阻止从 Internet 对集群上端口的开放访问,并将访问限制为仅限需要访问这些端口的特定 IP 地址。有关更多信息,请参阅 EMR 集群的安全组

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

默认严重性:低*

注意

此发现的默认严重性为 “低”。但是,如果正在探测的端口被(9200 或 9300)使用,则发现的严重性为 “高”。

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例上的端口未被安全组、访问控制列表 (ACL) 或 Linux IPTables 等主机防火墙阻止,并且互联网上的已知扫描仪正在积极探测该端口。

如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问,请参阅为 Windows 实例授权入站流量

补救建议:

这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的Amazon环境是这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用 Instance image ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别的标准。有关创建隐藏规则的更多信息,请参阅黑规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损的 EC2 实例

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

默认严重性:中等

  • 数据源:VPC 流日志

这一发现告知您,您的Amazon环境中列出的 EC2 实例可能参与了端口扫描攻击,因为它试图在短时间内连接到多个端口。端口扫描攻击的目的是找到打开的端口,以发现机器正在运行哪些服务并识别其操作系统。

补救建议:

在您环境中的 EC2 实例上部署漏洞评估应用程序时,此发现可能是误报,因为这些应用程序进行端口扫描以提醒您有关错误配置的打开端口。如果您的Amazon环境是这种情况,我们建议您为此发现设置抑制规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用 Instance image ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别哪些标准。有关创建隐藏规则的更多信息,请参阅黑规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损的 EC2 实例

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

默认严重性:中等

  • 数据源:VPC 流日志

此发现告知您,您的Amazon环境中列出的 EC2 实例可能已遭到破坏,因为它正在尝试与黑洞(或汇孔)的 IP 地址进行通信。黑洞是指在网络中静默丢弃传入或传出流量的地方,而不会通知来源数据没有到达预定接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/BlackholeTraffic!DNS

EC2 实例正在查询重定向到黑洞 IP 地址的域名。

默认严重性:中等

  • 数据源:DNS 日志

该发现告知您,您的Amazon环境中列出的 EC2 实例可能已遭到破坏,因为它正在查询被重定向到黑洞 IP 地址的域名。黑洞是指在网络中静默丢弃传入或传出流量的地方,而不会通知来源数据没有到达预定接收方。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DGADomainRequest.B

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发出命令的计算机,僵尸网络是受常见恶意软件感染和控制的互联网连接设备的集合。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

该发现基于使用高级启发式方法对域名的分析,可能会识别威胁情报源中不存在的新 DGA 域。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DGADomainRequest.C!DNS

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发出命令的计算机,僵尸网络是受常见恶意软件感染和控制的互联网连接设备的集合。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

该发现基于威胁情报源中的已知DGA域。 GuardDuty

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DNSDataExfiltration

EC2 实例通过 DNS 查询泄露数据。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中列出的 EC2 实例正在运行恶意软件,该恶意软件使用 DNS 查询进行出站数据传输。这种类型的数据传输表示实例受到攻击,并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。举例而言,遭盗用 EC2 实例中的恶意软件可以将数据 (例如,您的信用卡号) 编码到 DNS 查询中,并将其发送到由攻击者控制的远程 DNS 服务器。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 实例正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。

默认严重性:高

  • 数据源:DNS 日志

这一发现告知您,您的Amazon环境中列出的 EC2 实例可能已遭到入侵,因为它正在查询远程主机的域名,该域名是驾车下载攻击的已知来源。这些是从互联网意外下载的计算机软件,可能触发病毒、间谍软件或恶意软件的自动安装。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

默认严重性:中等

  • 数据源:VPC 流日志

这一发现通知您,您的Amazon环境中的 EC2 实例正在尝试与已知存有恶意软件捕获的证书和其他被盗数据的远程主机的 IP 地址进行通信。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/DropPoint!DNS

EC2 实例正在查询已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的域名。

默认严重性:中等

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中的 EC2 实例正在查询已知存有恶意软件捕获的证书和其他被盗数据的远程主机的域名。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Trojan:EC2/PhishingDomainRequest!DNS

EC2 实例正在查询涉及网络钓鱼攻击的域。您的 EC2 实例可能遭盗用。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中有一个 EC2 实例正在尝试查询参与网络钓鱼攻击的域。网络钓鱼域名由冒充合法机构的人建立,目的是诱使个人提供敏感数据,例如个人身份信息、银行和信用卡详细信息以及密码。您的 EC2 实例可能正在尝试检索存储在钓鱼网站上的敏感数据,或者可能正在尝试建立钓鱼网站。您的 EC2 实例可能遭盗用。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

一个 EC2 实例正在连接到自定义威胁列表上的 IP 地址。

默认严重性:中等

  • 数据源:VPC 流日志

这一发现告知您,您的Amazon环境中的 EC2 实例正在与您上传的威胁列表中包含的 IP 地址通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查结果的威胁列表将在调查结果的详细信息中列出。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

UnauthorizedAccess:EC2/MetadataDNSRebind

一个 EC2 实例正在执行解析到实例元数据服务的 DNS 查询。

默认严重性:高

  • 数据源:DNS 日志

这一发现告诉您,您的Amazon环境中的 EC2 实例正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。这种类型的 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据,包括与该实例关联的 IAM 证书。

DNS 重新绑定涉及欺骗 EC2 实例上运行的应用程序加载来自 URL 的返回数据,其中 URL 中的域名解析为 EC2 元数据 IP 地址 (169.254.169.254)。这会导致应用程序访问 EC2 元数据,并可能使其为攻击者所用。

只有当 EC2 实例正在运行允许注入 URL 的易受攻击的应用程序,或者有人在 EC2 实例上运行的 Web 浏览器中访问该 URL 时,才能使用 DNS 重新绑定访问 EC2 元数据。

补救建议:

作为对这一发现的回应,您应该评估 EC2 实例上是否正在运行有漏洞的应用程序,或者是否有人使用浏览器访问了调查结果中确定的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果有人浏览了已识别的域名,则应屏蔽该域名或阻止用户访问该域。如果您确定此发现与上述任一案例有关,则应撤消与 EC2 实例相关的会话

一些Amazon客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为 DNS request domain (DNS 请求域),并且值应与已映射到元数据 IP 地址 (169.254.169.254) 的域匹配。有关创建隐藏规则的更多信息,请参阅黑规则

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

默认严重性:低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此发现的严重性较低。如果您的 EC2 实例是用来执行暴力攻击的参与者,则此发现的严重性很高。

  • 数据源:VPC 流日志

这一发现告知您,您Amazon环境中的某个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Windows 的系统上的 RDP 服务的密码。这可能表示对您的Amazon资源进行了未经授权的访问。

补救建议:

如果您的实例的资源角色ACTOR,则表示您的实例已被用于执行 RDP 暴力攻击。除非此实例有正当理由联系列出的 IP 地址Target,否则建议您假设您的实例已被入侵并采取中列出的操作修复受损的 EC2 实例

如果您的实例的资源角色TARGET,则可以通过安全组、ACL 或防火墙将您的 RDP 端口仅限于可信 IP 来修复此发现。有关更多信息,请参阅保护 EC2 实例 (Linux) 的提示

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例涉及到 SSH 暴力攻击中。

默认严重性:低*

注意

如果暴力攻击针对的是您的某个 EC2 实例,则此发现的严重性较低。如果您的 EC2 实例被用来执行暴力攻击,则此发现的严重性很高。

  • 数据源:VPC 流日志

这一发现告知您,您Amazon环境中的某个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Linux 的系统上的 SSH 服务的密码。这可能表示对您的Amazon资源进行了未经授权的访问。

注意

此调查结果仅通过在端口 22 上监控流量的 生成。如果 SSH 服务配置为使用其他端口,则不会生成此调查结果。

补救建议:

如果暴力攻击的目标是堡垒主机,则这可能代表您的Amazon环境的预期行为。如果是这种情况,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用 Instance image ID 属性或 Tag value 属性,具体取决于托管这些工具的实例可以识别的标准。有关创建隐藏规则的更多信息,请参阅黑规则

如果您的环境预计不会出现此活动,而您的实例的资源角色TARGET,则可以通过安全组、ACL 或防火墙将您的 SSH 端口保护为仅限可信 IP 来修复此发现。有关更多信息,请参阅保护 EC2 实例 (Linux) 的提示

如果您的实例的资源角色ACTOR,则表示该实例已被用于执行 SSH 暴力攻击。除非此实例有正当理由联系列出的 IP 地址Target,否则建议您假设您的实例已被入侵并采取中列出的操作修复受损的 EC2 实例

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您的Amazon环境中有一个 EC2 实例正在连接到 Tor Guard 或授权节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表明此 EC2 实例已被入侵,正在 Tor 网络上充当客户端。此发现可能表明未经授权访问了您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。

默认严重性:高

  • 数据源:VPC 流日志

这一发现告诉您,您Amazon环境中的某个 EC2 实例正在连接 Tor 网络,这表明它在充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继来提高通信的匿名性。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅修复受损的 EC2 实例