停用调查结果类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

停用调查结果类型

重要

有关对 GuardDuty 调查结果类型的重要更改(包括新添加和停用的调查结果类型)的信息,请参阅Amazon GuardDuty 的文档历史记录

在当前发行的 GuardDuty 中,以下的调查结果类型已停用(不再生成):您无法重新激活已停用的 GuardDuty 调查结果类型。

影响:S3/ 许可流化。异常

IAM 实体调用 API 来修改一个或多个 S3 资源的权限。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果通知您,IAM 实体正在进行 API 调用,旨在修改Amazon环境。攻击者可以执行此操作,以允许在帐户外共享信息。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者 API 是从异常位置调用的。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶

影响:S3/ 对象删除。异常

IAM 实体调用了用于删除 S3 存储桶中数据的 API。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果通知您,Amazon环境正在进行 API 调用,旨在通过删除存储桶本身来删除列出的 S3 存储桶中的数据。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者 API 是从异常位置调用的。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶

发现:S3/ 存储桶数字。不寻常

IAM 实体调用了用于发现网络中 S3 存储桶的 S3 API。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果通知您,IAM 实体已调用 S3 API 来发现环境中的 S3 存储桶,例如ListBuckets。此类活动与攻击的发现阶段相关联,攻击者在此阶段收集信息以确定Amazon环境容易受到更广泛的攻击。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者 API 是从异常位置调用的。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶

Persistence:IAMUser/NetworkPermissions

IAM 实体调用了一个 API,该 API 通常用于更改您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此发现表明特定的委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

当网络配置设置在可疑的情况下发生更改时,会触发此调查结果,例如委托人调用CreateSecurityGroupAPI,没有以前这样做的历史记录。攻击者通常会尝试更改安全组,以允许各个端口上的特定入站流量,从而提高其访问 EC2 实例的能力。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Persistence:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果调用 API 是使用临时Amazon凭证,则调查结果的严重性为 “高”。

此发现表明特定的委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

当检测到附加到附加到Amazon资源,例如当Amazon环境调用PutBucketPolicyAPI,没有以前这样做的历史记录。某些服务,如 Amazon S3,支持授予一个或多个委托人对资源的访问权限的资源附加型权限。使用被盗凭证,攻击者可以更改附加到某资源的策略,以获取对该资源的访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Persistence:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此发现表明特定的委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

此调查结果由您的Amazon环境中的委托人,例如当Amazon环境调用AttachUserPolicyAPI,没有以前这样做的历史记录。攻击者可以使用被盗的凭证创建新用户、向现有用户添加访问策略或创建访问密钥以最大程度地提高其对某个账户的访问权限,即使其原始访问点已关闭,也是如此。例如,该账户的拥有者可能会注意到,某个特定 IAM 用户或密码已被盗并且将其从账户中删除。但是,他们可能不会删除由欺诈性创建的管理员主体创建的其他用户,使他们的Amazon帐户可供攻击者访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

PrivilegeEscalation:IAMUser/AdministrativePermissions

委托人尝试给自己分配高度宽松的策略。

默认严重级别:低*

注意

如果权限提升尝试不成功,此调查结果的严重级别为 “低”;如果权限提升尝试成功,则为 “中”。

此调查结果表明您的Amazon环境表现出的行为可能被视为权限提升攻击。当 IAM 用户或角色尝试为自己分配高度宽松的策略时,会触发此调查结果。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已被盗用或者该角色的权限可能未正确配置。

攻击者将使用被盗的凭证创建新用户、向现有用户添加访问策略或创建访问密钥以最大程度地提高其对某个账户的访问权限,即使其原始访问点已关闭,也是如此。例如,该账户的所有者可能会注意到,某个特定 IAM 用户或密码已被盗并且将其从账户中删除,但可能不会删除由通过欺骗手段创建的管理委托人创建的其他用户,从而让其Amazon帐户仍然可供攻击者访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于更改您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此发现表明特定的委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

此调查结果在您的Amazon帐户在可疑情况下被探测。例如,如果委托人调用DescribeInstancesAPI,没有以前这样做的历史记录。攻击者可能会使用被盗的凭据对Amazon资源,以找出更有价值的凭证或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此发现表明特定的委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

此调查结果在您的Amazon帐户在可疑情况下被探测。例如,如果委托人调用DescribeInstancesAPI,没有以前这样做的历史记录。攻击者可能会使用被盗的凭据对Amazon资源,以找出更有价值的凭证或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果在Amazon环境在可疑情况下进行探测。例如,如果委托人(Amazon账户根用户、IAM 角色或 IAM 用户)调用ListInstanceProfilesForRoleAPI,没有以前这样做的历史记录。攻击者可能会使用被盗的凭据对Amazon资源,以找出更有价值的凭证或确定他们已拥有的凭证的功能。

此发现表明您的Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有通过此方法调用该 API 的历史记录。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

ResourceConsumption:IAMUser/ComputeResources

委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果在您的Amazon环境在可疑情况下启动。此发现表明您的Amazon环境表现出的行为与所建立的基准有差异;例如,如果委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)调用了RunInstancesAPI,没有以前这样做的历史记录。这可能指示攻击者正在使用被盗凭证窃取计算时间 (可能用于加密货币挖矿或密码破解)。它还可能指示攻击者正在使用Amazon环境及其凭据来维护对您帐户的访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了一个 API,该 API 通常用于停止 CloudTrail 日志记录、删除现有日志以及消除您的Amazonaccount.

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

此调查结果在列出的Amazon帐户在可疑情况下被修改。此调查结果通知您,您的Amazon环境表现出的行为与所建立的基准有差异;例如,如果委托人 (Amazon账户根用户、IAM 角色或 IAM 用户)调用了StopLoggingAPI,没有以前这样做的历史记录。这可能指示攻击者正在尝试通过消息任何其活动的跟踪来覆盖其跟踪。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/ConsoleLogin

委托人在Amazon帐户被观察到。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

当在可疑的情况下检测到控制台登录时,会触发此调查结果。例如,如果以前没有执行此操作的历史记录的委托人从以前从未用过的客户端或异常位置调用了 ConsoleLogin API。这可能表明被盗凭据被用于访问您的Amazon帐户,或者有效的用户正在以无效或不安全的方式 (例如,不是通过经批准的 VPN) 访问该帐户。

此调查结果通知您,您的Amazon环境表现出的行为与所建立的基准有差异。此委托人以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:EC2/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

默认严重级别:中等

此调查结果通知您,您的Amazon环境正在接收来自 Tor 退出节点的入站连接。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此调查结果可能表示有人未经授权访问Amazon资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Backdoor:EC2/XORDDOS

EC2 实例尝试与关联到 XorDDos 恶意软件的 IP 地址通信。

默认严重级别:高

此调查结果通知您,您的Amazon环境尝试与关联到 XorDDos 恶意软件的 IP 地址通信。此 EC2 实例可能遭盗用。XOR DDoS 是木马恶意软件,可劫持 Linux 系统。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上安全外壳 (SSH) 服务的密码。获取 SSH 凭证并成功登录之后,它使用根特权运行脚本,下载并安装 XOR DDoS。然后,此恶意软件将成为僵尸网络的一部分,用于对其他目标启动分布式拒绝服务 (DDoS) 攻击。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

Behavior:IAMUser/InstanceLaunchUnusual

IAM 用户启动了异常类型的 EC2 实例。

默认严重级别:高

此调查结果通知您,您的Amazon环境表现出的行为与所建立的基准有差异。此 IAM 用户以前没有启动此类型 EC2 实例的历史记录。您的 IAM 用户凭证可能遭盗用。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

CryptoCurrency:EC2/BitcoinTool.A

EC2 实例与比特币矿池通信。

默认严重级别:高

此调查结果通知您,您的Amazon环境与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。

修复建议:

如果此活动是意外活动,您的实例可能会受到攻击,请参阅修复受损 EC2 实例

UnauthorizedAccess:IAMUser/UnusualASNCaller

从异常网络的 IP 地址调用了 API。

默认严重级别:高

此调查结果告知您已从异常网络的 IP 地址调用特定活动。此网络从未观察到整个Amazon所述用户的使用历史记录。此活动可以包含控制台登录、尝试启动 EC2 实例、创建新的 IAM 用户、修改您的Amazon权限等 这可能表示未经授权访问Amazon资源的费用。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证