保护 EC2 调查结果类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护 EC2 调查结果类型

以下调查结果特定于 Amazon EC2 资源,并且始终具有Instance. 调查结果的严重性和详细信息因资源角色而异,它指示 EC2 资源是可疑活动的目标还是执行活动的操作者。

此处列出的调查结果包括用于生成该查找结果类型的数据源和模型。有关数据源和模型的详细信息,请参阅Amazon GuardDuty 如何使用其数据源.

注意

如果实例已终止,或者底层 API 调用是源自不同区域中的 EC2 实例的跨区域 API 调用的一部分,则某些 EC2 调用可能会丢失实例详细信息。

对于所有 EC2 调查结果,建议您检查相关资源以确定它是否以预期的方式运行。如果活动已被授权,则可以使用隐藏规则或可信 IP 列表来防止出现该资源的误报通知。如果活动是意外活动,则安全最佳实践是假定实例已遭盗用,并执行修复受损 EC2 实例.

Backdoor:EC2/C&CActivity.B

EC2 实例正在查询与已知命令和控制服务器关联的 IP。

默认严重级别:高 高

  • 数据源 VPC 流日志

此调查结果通知您,Amazon环境正在查询与已知命令和控制 (C&C) 服务器关联的 IP。列出的实例可能遭盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件并受其控制的一组连接到 Internet 的设备,其中可能包括 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/C&CActivity.B!DNS

EC2 实例正在查询与已知命令和控制服务器关联的域名。

默认严重级别:高 高

  • 数据源 DNS 日志

此调查结果通知您,Amazon环境正在查询与已知命令和控制 (C&C) 服务器关联的域名。列出的实例可能遭盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件并受其控制的一组连接到 Internet 的设备,其中可能包括 PC、服务器、移动设备和物联网设备。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

注意

要测试如何生成此调查结果类型,您可以从实例(使用dig适用于 Linux 的nslookup)针对测试域guarddutyc2activityb.com.

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明它正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高 高

  • 数据源 VPC 流日志

此调查结果通知您,Amazon环境正在生成大量出站 DNS 流量。这可能表明列出的实例已遭盗用,并且正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式表明它正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高 高

  • 数据源 VPC 流日志

此调查结果通知您,Amazon环境正在生成大量出站 TCP 流量。这可能表明实例已遭盗用,并且正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式表明它正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源 VPC 流日志

此调查结果通知您,Amazon环境正在生成大量出站 UDP 流量。这可能表明列出的实例已遭盗用,并且正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高 高

  • 数据源 VPC 流日志

此调查结果通知您,Amazon环境正在生成大量针对通常用于 TCP 通信的端口的出站 UDP 流量。这可能表明列出的实例已遭盗用,并且正被用于使用 TCP 端口上 UDP 协议执行拒绝服务 (DoS) 攻击。

注意

此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明它正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。

默认严重级别:高

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境正在生成大量来自 EC2 实例通常不使用的不寻常协议类型(例如 Internet 组管理协议)的出站流量。这可能表明实例已遭盗用,并且正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。此调查结果仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/Spambot

EC2 实例表现出不正常的行为,在端口 25 上与远程主机通信。

默认严重级别:中等

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境与端口 25 上的远程主机通信。这是异常行为,因为此 EC2 实例以前没有在端口 25 上通信的历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。此调查结果表明 EC2 实例可能已遭盗用,并被用于发送垃圾邮件。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

默认严重级别:中等

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境的行为偏离了所建立的基准。此 EC2 实例以前没有在该远程端口上通信的历史记录。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Behavior:EC2/TrafficVolumeUnusual

EC2 实例正在生成异常大量的网络流量到远程主机。

默认严重级别:中等

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境的行为偏离了所建立的基准。此 EC2 实例以前没有发送这种大量流量到该远程主机的历史记录。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别:高

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境正在查询与比特币或其他加密货币相关活动关联的活动关 IP 地址。比特币是一种全球数字加密货币和数字支付系统,可与其他货币、产品和服务兑换。比特币是比特币挖掘的奖励,受到威胁行为者的高度追捧。

修复建议:

如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则此调查结果可能是您环境的预期活动。如果是这种情况,您的Amazon环境中,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅禁止规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 实例正在查询与加密货币相关活动关联的域名。

默认严重级别:高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境正在查询与比特币或其他加密货币相关活动关联的域名。比特币是一种全球数字加密货币和数字支付系统,可与其他货币、产品和服务兑换。比特币是比特币挖掘的奖励,受到威胁行为者的高度追捧。

修复建议:

如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则此调查结果可能是您环境的预期活动。如果是这种情况,您的Amazon环境中,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅禁止规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/AbusedDomainRequest.Reputation

EC2 实例正在查询与已知滥用域关联的低信誉域名。

默认严重级别:中等

  • 数据源 DNS 日志

此调查结果通知您,Amazon环境正在查询与已知滥用域或 IP 地址相关联的低信誉域名。滥用域名的例子包括提供免费子域注册的顶级域名 (TLD) 和二级域名 (2LD) 以及动态 DNS 提供商。威胁行为者倾向于使用这些服务免费或低成本注册域。此类别中信誉低的域也可能是解析为注册商的停车 IP 地址的过期域,因此可能不再处于活动状态。停车 IP 是指注册商为尚未链接到任何服务的域定向流量的位置。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发,列出的 Amazon EC2 实例可能会遭到破坏。

低信誉域基于由开发的信誉评分模型,该模型对域的特征进行评估和排名,以确定其恶意的可能性。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 实例正在查询与加密货币相关活动关联的低信誉域名。

默认严重级别:高

  • 数据源 DNS 日志

此调查结果通知您,Amazon环境正在查询与比特币或其他加密货币相关活动关联的活动关域名。比特币是一种全球数字加密货币和数字支付系统,可与其他货币、产品和服务兑换。比特币是比特币挖掘的奖励,受到威胁行为者的高度追捧。

低信誉域基于由开发的信誉评分模型,该模型对域的特征进行评估和排名,以确定其恶意的可能性。

修复建议:

如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则该调查结果可能表示您环境的预期活动。如果是这种情况,您的Amazon环境中,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Impact:EC2/BitcoinDomainRequest.Reputation。第二个筛选条件应是涉及区块链活动的实例的 Instance ID (实例 ID)。要了解有关创建隐藏规则的更多信息,请参阅禁止规则

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 实例正在查询与已知恶意域关联的低信誉域。

默认严重级别:高

  • 数据源 DNS 日志

此调查结果通知您,Amazon环境正在查询与已知恶意域或 IP 地址关联的低信誉域名。例如,域可能与已知的沉孔 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域,向他们发出的请求可以表示实例遭到破坏。这些域也可能与已知的恶意营销活动或域生成算法相关。

低信誉域基于由开发的信誉评分模型,该模型对域的特征进行评估和排名,以确定其恶意的可能性。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/PortSweep

EC2 实例正在探测大量 IP 地址上的端口。

默认严重级别:高

  • 数据源 VPC 流日志

此调查结果会通知您Amazon环境正在探测大量可公开路由的 IP 地址上的端口。此类活动通常用于查找要利用的易受攻击的主机。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 实例正在查询由于其年龄或流行程度较低的低信誉域名。

默认严重级别:低

  • 数据源 DNS 日志

此调查结果通知您,Amazon环境正在查询疑似恶意的低信誉域名。注意到此域的特征与之前观察到的恶意域一致,但是,我们的信誉模型无法确切地将其与已知威胁相关联。这些域通常是新观察到的,或者接收的流量较少。

低信誉域基于由开发的信誉评分模型,该模型对域的特征进行评估和排名,以确定其恶意的可能性。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Impact:EC2/WinRMBruteForce

EC2 实例正在执行出站 Windows 远程管理暴力攻击。

默认严重级别:低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此调查结果的严重性为 “低”。如果您的 EC2 实例是用于执行暴力攻击的参与者,则此调查结果的严重性为 “高”。

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境正在执行 Windows 远程管理 (WinRM) 暴力攻击,旨在获得对基于 Windows 的系统上 Windows 远程管理服务的访问权限。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Recon:EC2/PortProbeEMRUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护的 EMR 相关端口。

默认严重级别:高

  • 数据源 VPC 流日志

此调查结果通知您,已列出的 EC2 实例上有一个 EMR 相关敏感端口,该端口是您的集群的一部分。Amazon环境不受到安全组、访问控制列表 (ACL) 或主机上防火墙(例如,Linux IPTables)的阻止,Internet 上的已知扫描程序正在积极地探查该环境。可触发此调查结果的端口可能被用于远程代码执行,例如端口 8088(YARN Web UI 端口)。

修复建议:

您应阻止集群上的端口接受来自 Internet 的公开访问,并将访问限制为必须访问这些端口的特定 IP 地址。有关更多信息,请参阅 EMR 集群的安全组

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

默认严重级别:高 低*

注意

此调查结果的默认严重级别为 “低”。但是,如果被探测的端口由 (9200 或 9300) 使用,则调查结果的严重级别将为 “高”。

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境不受到安全组、访问控制列表 (ACL) 或主机上防火墙(例如,Linux IPTables)的阻止,Internet 上的已知扫描程序正在积极地探查该环境。

如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址范围内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅为您的 Linux 实例授权入站流量。要在 Windows 上限制对端口 3389 的访问,请参阅为 Windows 实例授权入站流量

修复建议:

这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果是这种情况,您的Amazon环境中,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/PortProbeUnprotectedPort。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建隐藏规则的更多信息,请参阅禁止规则.

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

默认严重级别:高 中等

  • 数据源 VPC 流日志

此结果通知您,您的Amazon环境参与到可能的端口扫描攻击中,因为它在短时间内尝试连接到多个端口。端口扫描攻击的目的是找出开放端口,以发现机器运行哪些服务以及确定其操作系统。

修复建议:

当漏洞评估应用程序部署在您环境中的 EC2 实例上时,此调查结果可能是误报的,因为这些应用程序会执行端口扫描以提醒您注意错误配置的开放端口。如果是这种情况,您的Amazon环境中,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 Recon:EC2/Portscan。第二个筛选条件应与托管这些漏洞评估工具的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建隐藏规则的更多信息,请参阅禁止规则.

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

默认严重级别:高 中等

  • 数据源 VPC 流日志

此调查结果会通知您Amazon环境可能会遭盗用,因为它正在尝试与黑洞(或接收孔)的 IP 地址进行通信。黑洞是网络中这样的位置:传入或传出流量将会无提示放弃,不向源通知其数据未达到其目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/BlackholeTraffic!DNS

EC2 实例正在查询重定向到黑洞 IP 地址的域名。

默认严重级别:高 中等

  • 数据源 DNS 日志

此调查结果会通知您Amazon环境可能被盗用,因为它正在查询重定向到黑洞 IP 地址的域名。黑洞是网络中这样的位置:传入或传出流量将会无提示放弃,不向源通知其数据未达到其目标接收方。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DGADomainRequest.B

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

此调查结果基于使用高级启发式法的域名分析,并且可能会发现新的威胁情报源中不存在的新 DGA 域。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DGADomainRequest.C!DNS

EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境正在尝试查询域生成算法 (DGA) 域。您的 EC2 实例可能遭盗用。

DGA 用于定期生成大量的域名,可由其命令和控制 (C&C) 服务器用作汇聚点。命令和控制服务器是向僵尸网络成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。

注意

此结果基于 GuardDuty 威胁情报源的已知 DGA 域。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DNSDataExfiltration

EC2 实例通过 DNS 查询泄露数据。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境中运行的恶意软件使用 DNS 查询进行出站数据传输。这种类型的数据传输表明存在受到破坏的实例,并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。举例而言,遭盗用 EC2 实例中的恶意软件可以将数据 (例如,您的信用卡号) 编码到 DNS 查询中,并将其发送到由攻击者控制的远程 DNS 服务器。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 实例正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境可能会遭盗用,因为它正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。这些是来自 Internet 的恶意计算机软件下载,可能会触发自动安装病毒、间谍软件或恶意软件。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

默认严重级别:高 中等

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/DropPoint!DNS

EC2 实例正在查询已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的域名。

默认严重级别:高 中等

  • 数据源 DNS 日志

此结果通知您,您的 EC2 实例Amazon环境正在查询已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的域名。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Trojan:EC2/PhishingDomainRequest!DNS

EC2 实例正在查询涉及网络钓鱼攻击的域。您的 EC2 实例可能遭盗用。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的Amazon环境中尝试查询涉及网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置,其目的是引诱个人提供敏感数据,如个人可识别信息、银行和信用卡信息、密码等。EC2 实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者它可能正在尝试设置网络钓鱼网站。您的 EC2 实例可能遭盗用。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 实例正在连接到自定义威胁列表中的 IP 地址。

默认严重级别:高 中等

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境中的 IP 地址与您上传的威胁列表中包含的 IP 地址通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。GuardDuty 将根据已上传威胁列表生成结果。用于生成此调查结果的威胁列表将在调查结果的详细信息中列出。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 实例正在执行被解析为实例元数据服务的 DNS 查找。

默认严重级别:高 高

  • 数据源 DNS 日志

此结果通知您,您的 EC2 实例Amazon环境正在查询一个被解析为 EC2 元数据 IP 地址 (169.254.169.4) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于获取 EC2 实例中的元数据,包括与该实例关联的 IAM 凭证。

DNS 重新绑定需要引诱在 EC2 实例上运行的应用程序来加载一个 URL 的返回数据,而该 URL 中的域名被解析为 EC2 元数据 IP 地址 (169.254.169.254)。这会导致应用程序访问 EC2 元数据,并可能使其为攻击者所用。

如果该 EC2 实例正在运行允许 URL 注入的有漏洞的应用程序,或者如果有人在运行于该 EC2 实例上的 Web 浏览器中访问该 URL,则可以使用 DNS 重新绑定来访问 EC2 元数据。

修复建议:

为了解决此调查结果,您应该考虑 EC2 实例上是否运行有存在漏洞的应用程序,或者是否有人使用浏览器来访问调查结果中标识的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果有人浏览了标识的域,您应阻止该域或阻止用户访问它。如果您确定此结果与以上任一种情况有关,则应该撤销与 EC2 实例关联的会话.

一段时间Amazon客户有意将元数据 IP 地址映射到其授权 DNS 服务器上的域名。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二个筛选条件应为 DNS request domain (DNS 请求域),并且值应与已映射到元数据 IP 地址 (169.254.169.254) 的域匹配。有关创建隐藏规则的更多信息,请参阅禁止规则

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

默认严重级别:高 低*

注意

如果您的 EC2 实例是暴力攻击的目标,则此调查结果的严重性为 “低”。如果您的 EC2 实例是用于执行暴力攻击的参与者,则此调查结果的严重性为 “高”。

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境涉及到暴力攻击中,旨在获取基于 Windows 的系统上 RDP 服务的密码。这可能表示有人未经授权访问您的Amazon资源的费用。

修复建议:

如果您的实例的资源角色ACTOR,表示您的实例已用于执行 RDP 暴力攻击。除非此实例有正当理由联系作为Target,建议您假定您的实例已遭盗用,并执行修复受损 EC2 实例.

如果您的实例的资源角色TARGET,则可以通过安全组、ACL 或防火墙将您的 RDP 端口限定为仅受信任的 IP 来纠正此调查结果。有关更多信息,请参阅保护 EC2 实例的技巧 (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例涉及到 SSH 暴力攻击中。

默认严重级别:高 低*

注意

如果暴力攻击的目标是您的某个 EC2 实例,则此调查结果的严重程度较低。如果您的 EC2 实例用于执行暴力攻击,则此调查结果的严重程度较高。

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境涉及到暴力攻击中,旨在获取基于 Linux 的系统上 SSH 服务的密码。这可能表示有人未经授权访问Amazon资源的费用。

注意

此调查结果仅通过在端口 22 上监控流量的 生成。如果 SSH 服务配置为使用其他端口,则不会生成此调查结果。

修复建议:

如果此次暴力攻击的目标是堡垒主机,这可能表示您的Amazon环境。如果是这种情况,我们建议您为此调查结果设置禁止规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 UnauthorizedAccess:EC2/SSHBruteForce。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用实例映像 ID属性或标记value 属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建隐藏规则的更多信息,请参阅禁止规则.

如果此活动不适用于您的环境,并且您的实例的资源角色TARGET,则可以通过安全组、ACL 或防火墙将您的 SSH 端口限定为仅受信任的 IP 来纠正此调查结果。有关更多信息,请参阅 。保护 EC2 实例的技巧 (Linux).

如果您的实例的资源角色ACTOR,表示实例已用于执行 SSH 暴力攻击。除非此实例有正当理由联系作为Target,建议您假定您的实例已遭盗用,并执行修复受损 EC2 实例.

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

默认严重级别:高 高

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境正在连接到一个 Tor Guard 或 Firety 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表明此 EC2 实例已遭盗用,并且正充当 Tor 网络上的客户端。此结果表示有人未经授权访问您的Amazon资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。

默认严重级别:高 高

  • 数据源 VPC 流日志

此结果通知您,您的 EC2 实例Amazon环境正在以一种暗示其充当 Tor 中继的方式与 Tor 网络建立连接。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继,来提高通信的匿名程度。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例