停用的调查发现类型
调查发现是一个通知,包含有关 GuardDuty 所发现的潜在安全问题的详细信息。有关对 GuardDuty 调查发现类型的重要更改(包括新添加和停用的调查发现类型)的信息,请参阅Amazon GuardDuty 文档历史记录。
以下调查发现类型已停用,GuardDuty 不再生成这些类型。
重要
您无法重新激活停用的 GuardDuty 调查发现类型。
主题
Exfiltration:S3/ObjectRead.Unusual
IAM 实体以可疑的方式调用了 S3 API。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
-
数据来源:S3 的 CloudTrail 数据事件
此调查发现通知您,您 Amazon 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
修复建议:
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶。
Impact:S3/PermissionsModification.Unusual
IAM 实体调用了一个 API,来修改一个或多个 S3 资源的权限。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
此调查发现通知您,IAM 实体正在进行 API 调用,意图修改 Amazon 环境中一个或多个存储桶或对象的权限。攻击者可能执行此操作,允许在账户外部共享信息。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
修复建议:
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶。
Impact:S3/ObjectDelete.Unusual
IAM 实体调用了一个 API,该 API 用于删除 S3 桶中数据的。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
此调查发现通知您,您 Amazon 环境中的特定 IAM 实体正在进行 API 调用,意图通过删除存储桶本身来删除列出的 S3 存储桶中的数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
修复建议:
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶。
Discovery:S3/BucketEnumeration.Unusual
IAM 实体调用了 S3 API,该 API 用于发现网络中的 S3 存储桶。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 ListBuckets。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
修复建议:
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶。
Persistence:IAMUser/NetworkPermissions
IAM 实体调用了一个 API,该 API 通常用于更改 Amazon 账户中安全组、路由和 ACL 的网络访问权限。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
该调查发现表明,您 Amazon Web Services 账户根用户 环境中的特定主体(Amazon、IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当网络配置设置在可疑的情况下发生更改时,例如,当主体调用 CreateSecurityGroup API 而之前没有此类历史记录时,就会触发该调查发现。攻击者通常会尝试更改安全组,从而允许各个端口上的特定入站流量,以提高其访问 EC2 实例的能力。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Persistence:IAMUser/ResourcePermissions
主体调用了一个 API,该 API 通常用于更改 Amazon Web Services 账户 中各种资源的安全访问策略。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
该调查发现表明,您 Amazon Web Services 账户根用户 环境中的特定主体(Amazon、IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当检测到附加到 Amazon 资源的策略或权限发生更改时,例如您 Amazon 环境中的主体调用了 PutBucketPolicy API,而之前没有此类历史记录时,就会触发该调查发现。某些服务(如 Amazon S3)支持资源附加权限,可授予一个或多个主体访问资源的权限。攻击者利用窃取的凭证更改附加到资源的策略,从而获取对该资源的访问权限。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Persistence:IAMUser/UserPermissions
主体调用了一个 API,该 API 通常用于添加、修改或删除您 Amazon 账户中的 IAM 用户、组或策略。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
该调查发现表明,您 Amazon Web Services 账户根用户 环境中的特定主体(Amazon、IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当 Amazon 环境中用户相关的权限发生可疑更改时,例如 Amazon 环境中的主体调用了 AttachUserPolicy API,而之前没有此类历史记录,就会触发该调查发现。攻击者可能会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户或密码被盗,并将其从账户中删除。但是,他们可能不会删除由欺诈性创建的管理员主体创建的其他用户,从而使攻击者可以访问他们的 Amazon 账户。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
PrivilegeEscalation:IAMUser/AdministrativePermissions
委托人尝试给自己分配高度宽松的策略。
默认严重级别:低*
注意
如果权限提升尝试不成功,此调查发现的严重性为“低”;如果权限提升尝试成功,则为“中”。
此调查发现表明,您 Amazon 环境中的特定 IAM 实体表现出的行为可能表明存在权限提升攻击。当 IAM 用户或角色尝试为自己分配高度宽松的策略时,将触发此调查发现。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已泄露或者该角色的权限可能未正确配置。
攻击者将会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户的登录凭证被盗,并将其从账户中删除,但可能不会删除由欺诈性创建的管理员主体创建的其他用户,从而使攻击者仍可访问其 Amazon 账户。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/NetworkPermissions
主体调用了一个 API,该 API 通常用于更改 Amazon 账户中安全组、路由和 ACL 的网络访问权限。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
该调查发现表明,您 Amazon Web Services 账户根用户 环境中的特定主体(Amazon、IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 Amazon 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 DescribeInstances API 而之前没有此类历史记录。攻击者可能会使用窃取的凭证对您的 Amazon 资源进行此类侦测,以找出更有价值的凭证或确定其已有凭证的功能。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/ResourcePermissions
主体调用了一个 API,该 API 通常用于更改 Amazon 账户中各种资源的安全访问策略。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
该调查发现表明,您 Amazon Web Services 账户根用户 环境中的特定主体(Amazon、IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 Amazon 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 DescribeInstances API 而之前没有此类历史记录。攻击者可能会使用窃取的凭证对您的 Amazon 资源进行此类侦测,以找出更有价值的凭证或确定其已有凭证的功能。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/UserPermissions
主体调用了一个 API,该 API 通常用于添加、修改或删除您 Amazon 账户中的 IAM 用户、组或策略。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
当在可疑的情况下探测到您 Amazon 环境中的用户权限时,将会触发此调查发现。例如,如果主体(Amazon Web Services 账户根用户、IAM 角色或 IAM 用户)调用了 ListInstanceProfilesForRole API,而之前没有此类历史记录。攻击者可能会使用窃取的凭证对您的 Amazon 资源进行此类侦测,以找出更有价值的凭证或确定其已有凭证的功能。
该调查发现表明,您 Amazon 环境中的特定主体表现出的行为与既定基准不同。此主体以前没有通过此方法调用该 API 的历史记录。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
ResourceConsumption:IAMUser/ComputeResources
委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
当您 Amazon 环境中列出的账户中的 EC2 实例在可疑情况下启动时,就会触发此调查发现。该调查发现表明,您 Amazon 环境中的特定主体表现出的行为与既定基准不同;例如,如果主体(Amazon Web Services 账户根用户、IAM 角色或 IAM 用户)调用了 RunInstances API,而之前没有此类历史记录。这可能指示攻击者正在使用被盗凭证窃取计算时间(可能用于加密货币挖矿或密码破解)。这也可能表明攻击者利用您 Amazon 环境中的 EC2 实例,以及实例的凭证来保持对账户的访问。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Stealth:IAMUser/LoggingConfigurationModified
主体调用了一个 API,该 API 通常用于停止 CloudTrail 日志记录、删除现有日志,以及以其他方式消除 Amazon 账户中的活动痕迹。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
当在可疑情况下修改您环境中列出的 Amazon 账户中的日志记录配置时,会触发此调查发现。此调查发现通知您,您 Amazon 环境中的特定主体表现出的行为与既定基准不同;例如,如果主体(Amazon Web Services 账户根用户、IAM 角色或 IAM 用户)调用了 StopLogging API,而之前没有此类历史记录。这可能指示攻击者正在尝试通过消除其活动的任何踪迹来掩盖其跟踪。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/ConsoleLogin
观察到您 Amazon 账户中的主体进行了异常控制台登录。
默认严重级别:中*
注意
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 Amazon 凭证调用 API,则该调查发现的严重性为“高”。
当在可疑的情况下检测到控制台登录时,会触发此调查发现。例如,如果以前没有执行此操作的历史记录的主体从以前从未用过的客户端或异常位置调用了 ConsoleLogin API。这种情况可能表明有人利用盗用的凭证访问您的 Amazon 账户,或者有效用户以无效或不安全的方式访问账户(例如,未通过经批准的 VPN)。
此调查发现通知您,您 Amazon 环境中的特定主体表现出的行为与既定基准不同。此主体以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:EC2/TorIPCaller
EC2 实例正在接收来自 Tor 退出节点的入站连接。
默认严重级别:中
此调查发现通知您,您 Amazon 环境中的 EC2 实例正在接收来自 Tor 出口节点的入站连接。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。此调查发现表明,有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例。
Backdoor:EC2/XORDDOS
EC2 实例正在尝试与 XOR DDoS 恶意软件关联的 IP 地址进行通信。
默认严重级别:高
此调查发现通知您,您 Amazon 环境中的 EC2 实例正在尝试与 XOR DDoS 恶意软件关联的 IP 地址进行通信。此 EC2 实例可能遭盗用。XOR DDoS 是木马恶意软件,可劫持 Linux 系统。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上 Secure Shell(SSH)服务的密码。获取 SSH 凭证并成功登录后,使用根用户权限运行下载和安装 XOR DDoS 的脚本。然后,此恶意软件将成为僵尸网络的一部分,用于对其它目标启动分布式阻断服务(DDoS)攻击。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例。
Behavior:IAMUser/InstanceLaunchUnusual
用户启动了异常类型的 EC2 实例。
默认严重级别:高
此调查发现通知您,您 Amazon 环境中的特定用户表现出的行为与既定基准不同。此用户以前没有启动此类型 EC2 实例的历史记录。您的登录凭证可能已泄露。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
CryptoCurrency:EC2/BitcoinTool.A
EC2 实例与比特币矿池通信。
默认严重级别:高
此调查发现通知您,您 Amazon 环境中的 EC2 实例正在与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。
修复建议:
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例。
UnauthorizedAccess:IAMUser/UnusualASNCaller
从异常网络的 IP 地址调用了 API。
默认严重级别:高
此调查发现告知您已从异常网络的 IP 地址调用特定活动。在所描述用户的整个 Amazon 使用历史中,从未观察到该网络。此活动可能包括控制台登录、尝试启动 EC2 实例、创建新的 IAM 用户、修改您的 Amazon 权限等。这种情况可能表明有人未经授权访问您的 Amazon 资源。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。