停用调查结果类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

停用调查结果类型

调查结果是一个通知,包含有关 发现的潜在安全问题的详细信息。有关对 GuardDuty 调查结果类型的重要更改(包括新添加和停用的调查结果类型)的信息,请参阅Amazon 的文档历史记录 GuardDuty

以下查找类型已停用,不再由 GuardDuty 生成。

重要

您无法重新激活已停用的 调查结果类型。

Exfiltration:S3/ObjectRead.Unusual

一个 IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

  • 数据源:S3 的 CloudTrail 数据事件

这一发现告诉您,您Amazon环境中的一个 IAM 实体正在进行 API 调用,这些调用涉及 S3 存储桶,并且与该实体的既定基准不同。本活动中使用的 API 调用与攻击的渗透阶段相关联,在该阶段中,攻击者正试图收集数据。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者该 API 是在异常位置调用的。

修复建议:

如果关联的委托人意想不到此活动,则可能表明证书已暴露或您的 S3 权限不够严格。有关更多信息,请参阅修复可能遭到入侵的 S3 存储桶

Impact:S3/PermissionsModification.Unusual

一个 IAM 实体调用了 API 来修改一个或多个 S3 资源的权限。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

这一发现告诉您,一个 IAM 实体正在进行旨在修改环境中一个或多个存储桶或对象权限的 Amazon API 调用。攻击者可能执行此操作以允许在账户之外共享信息。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者该 API 是在异常位置调用的。

修复建议:

如果关联的委托人意想不到此活动,则可能表明证书已暴露或您的 S3 权限不够严格。有关更多信息,请参阅修复可能遭到入侵的 S3 存储桶

Impact:S3/ObjectDelete.Unusual

IAM 实体调用了用于删除 S3 桶中数据的 API。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

这一发现告诉您,您的Amazon环境中的一个特定 IAM 实体正在进行 API 调用,旨在通过删除列出的 S3 存储桶本身来删除该存储桶中的数据。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者该 API 是在异常位置调用的。

修复建议:

如果关联的委托人意想不到此活动,则可能表明证书已暴露或您的 S3 权限不够严格。有关更多信息,请参阅修复可能遭到入侵的 S3 存储桶

Discovery:S3/BucketEnumeration.Unusual

一个 IAM 实体调用了一个 S3 API,用于在您的网络中发现 S3 存储桶。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

这一发现告诉您,一个 IAM 实体已调用 S3 API 来发现您的环境中的 S3 存储桶,例如。ListBuckets此类活动与攻击的发现阶段有关,攻击者正在收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者该 API 是在异常位置调用的。

修复建议:

如果关联的委托人意想不到此活动,则可能表明证书已暴露或您的 S3 权限不够严格。有关更多信息,请参阅修复可能遭到入侵的 S3 存储桶

Persistence:IAMUser/NetworkPermissions

IAM 用户调用了一个 API,该 API 通常用于更改您的 Amazon 账户中的安全组、路由和 ACL 的网络访问权限。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

此发现是在可疑情况下更改网络配置设置时触发的,例如委托人调用 CreateSecurityGroup API 时没有此操作的历史记录。攻击者通常会尝试更改安全组,从而允许各个端口上的特定入站流量,以提高其访问可能已在您的 EC2 实例上植入的自动程序的能力。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Persistence:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的 Amazon 账户中各种资源的安全访问策略。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

当检测到附加到Amazon资源的策略或权限发生了变化时,例如您的Amazon环境中的委托人调用了 PutBucketPolicy API,但之前没有这样做的历史记录时,就会触发此发现。某些服务,如 Amazon S3,支持授予一个或多个委托人对资源的访问权限的资源附加型权限。使用被盗的凭证,攻击者可以更改附加到某资源的策略,从而授予他们对该资源的未来访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Persistence:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的 Amazon 账户中添加、修改或删除 IAM 用户、组或策略。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

此发现是由环境中用户相关权限的可疑更改触发的,例如,当您的Amazon环境中的委托人调用了 API 时,之前没有调用过 AttachUserPolicy API。Amazon攻击者可能会使用被盗的凭证来创建新用户,为现有用户添加访问策略,或者创建访问密钥以最大限度地提高他们对账户的访问权限,即使他们的原始接入点已关闭。例如,账户的所有者可能会注意到特定的 IAM 用户或密码被盗,并将其从账户中删除。但是,他们可能不会删除由欺诈创建的管理员主体创建的其他用户,从而使攻击者可以访问他们的Amazon帐户。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

PrivilegeEscalation:IAMUser/AdministrativePermissions

委托人尝试给自己分配高度宽松的策略。

默认严重级别:低

注意

如果权限提升尝试不成功,此调查结果的严重级别为“低”;如果权限提升尝试成功,则为“中”。

此调查结果通知您,您的 Amazon 环境中的特定委托人展现出的行为可能被视为权限提升攻击。此调查结果在用户或角色尝试给自己分配高度宽松的策略时触发。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已被盗用或者该角色的权限可能未正确配置。

攻击者将使用被盗的凭证来创建新用户,为现有用户添加访问策略,或者创建访问密钥以最大限度地提高他们对账户的访问权限,即使他们的原始接入点已关闭。该账户的拥有者可能会注意到,某个特定 IAM 用户或密码已被盗并且将其从账户中删除,但可能不会删除由通过欺骗手段创建的管理委托人创建的其他用户,从而让攻击者仍可访问其 Amazon 账户。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Recon:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于更改您的 Amazon 账户中的安全组、路由和 ACL 的网络访问权限。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

当在可疑的情况下探测到您的 Amazon 账户中的资源访问权限时,会触发此调查结果。例如,如果以前没有执行此操作的历史记录的委托人调用了 StopLogging API。攻击者可能使用被盗凭证执行您的 Amazon 应用程序的测试来查找漏洞,以找出有价值的信息或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Recon:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的 Amazon 账户中各种资源的安全访问策略。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有调用此 API 的历史记录。

当在可疑的情况下探测到您的 Amazon 账户中的资源访问权限时,会触发此调查结果。例如,如果以前没有执行此操作的历史记录的委托人调用了 StopLogging API。攻击者可能使用被盗凭证执行您的 Amazon 应用程序的测试来查找漏洞,以找出有价值的信息或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Recon:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的 Amazon 账户中添加、修改或删除 IAM 用户、组或策略。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

当在可疑的情况下探测到您的 Amazon 环境中的用户权限时,会触发此调查结果。例如,如果以前没有执行此操作的历史记录的委托人调用了 StopLogging API。攻击者可能使用被盗凭证执行您的 Amazon 应用程序的测试来查找漏洞,以找出有价值的信息或确定他们已拥有的凭证的功能。

此调查结果表示,您的 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有通过此方法调用该 API 的历史记录。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

ResourceConsumption:IAMUser/ComputeResources

委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

当在可疑的情况下启动您的 Amazon 环境中的 EC2 实例时,会触发此调查结果。这一发现表明,您的Amazon环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(Amazon Web Services 账户根用户IAM 角色或 IAM 用户)在以前没有调用过 RunInstances API 的情况下调用了 API。这可能指示攻击者正在使用被盗凭证窃取计算时间 (可能用于加密货币挖矿或密码破解)。它还可能指示攻击者正在使用您的 Amazon 环境中的 EC2 实例及其凭证来维护对您的账户的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了一个 API,该 API 通常用于停止 CloudTrail 日志记录、删除现有日志以及消除您的 Amazon 账户中活动的跟踪。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

当在可疑的情况下修改您的 Amazon 账户中的日志记录配置时,会触发此调查结果。这一发现告诉您,您的Amazon环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(Amazon Web Services 账户根用户IAM 角色或 IAM 用户)调用了 StopLogging API,但之前没有这样做的记录。这可能指示攻击者正在尝试通过消息任何其活动的跟踪来覆盖其跟踪。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

UnauthorizedAccess:IAMUser/ConsoleLogin

发现了您的 Amazon 账户中委托人的异常控制台登录。

默认严重级别:中

注意

此调查结果的默认严重性为“中”。但是,如果使用在 Amazon 实例上创建的临时 Amazon 凭证调用 API,则调查结果的严重性为“高”。

当在可疑的情况下检测到控制台登录时,会触发此调查结果。例如,如果以前没有执行此操作的历史记录的委托人从以前从未用过的客户端或异常位置调用了 ConsoleLogin API。这可能指示被盗凭证正在用来获取对您的 Amazon 账户的访问权限,或者有效的用户正在以无效或不安全的方式 (例如,不是通过经批准的 VPN) 访问该账户。

此调查结果通知您,您 Amazon 环境中的特定委托人表现出的行为与所建立的基准有差异。此委托人以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

UnauthorizedAccess:EC2/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

默认严重级别:中

此调查结果告知您 Amazon 环境中的 EC2 实例正在接收来自 Tor 退出节点的入站连接。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此可能表示有人未经授权访问您的 Amazon 资源并意图隐藏攻击者的真实身份。

修复建议:

如果此活动是意外的,则表示您的 EC2 实例可能已受到攻击。有关更多信息,请参阅修复可能遭到入侵的 Amazon EC2 实例

Backdoor:EC2/XORDDOS

EC2 实例尝试与关联到 XorDDos 恶意软件的 IP 地址通信。

默认严重级别:高

此调查结果通知您,您的 Amazon 环境中存在 EC2 实例尝试与关联到 XorDDos 恶意软件的 IP 地址通信。此 EC2 实例可能遭盗用。XOR DDoS 是木马恶意软件,可劫持 Linux 系统。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上安全外壳 (SSH) 服务的密码。获取 SSH 凭证并成功登录之后,它使用根特权运行脚本,下载并安装 XOR DDoS。然后,此恶意软件将成为僵尸网络的一部分,用于对其他目标启动分布式拒绝服务 (DDoS) 攻击。

修复建议:

如果此活动是意外的,则表示您的 EC2 实例可能已受到攻击。有关更多信息,请参阅修复可能遭到入侵的 Amazon EC2 实例

Behavior:IAMUser/InstanceLaunchUnusual

IAM 用户启动了异常类型的 EC2 实例。

默认严重级别:高

此调查结果通知您,您 Amazon 环境中的特定 IAM 用户表现出的行为与所建立的基准有差异。此 IAM 用户以前没有启动此类型 EC2 实例的历史记录。您的凭证可能遭盗用。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon

CryptoCurrency:EC2/BitcoinTool.A

EC2 实例与比特币矿池通信。

默认严重级别:高

此调查结果通知您,您 Amazon 环境中的 EC2 实例与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。

修复建议:

如果此活动是意外的,则表示您的 EC2 实例可能已受到攻击。有关更多信息,请参阅修复可能遭到入侵的 Amazon EC2 实例

UnauthorizedAccess:IAMUser/UnusualASNCaller

从异常网络的 IP 地址调用了 API。

默认严重级别:高

此调查结果告知您已从异常网络的 IP 地址调用特定活动。在所述用户的整个 Amazon 使用历史记录中从未观察到此网络。此活动可以包含登录控制台、尝试启动 EC2 实例、创建新的 IAM 用户、修改您的 Amazon 权限等。这可能表示有人未经授权访问您的 Amazon 资源。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能被泄露的凭证 Amazon