Lambda Protection 查找类型 - Amazon GuardDuty
Backdoor:Lambda/C&CActivity.BCryptoCurrency:Lambda/BitcoinTool.BTrojan:Lambda/BlackholeTrafficTrojan:Lambda/DropPointUnauthorizedAccess:Lambda/MaliciousIPCaller.CustomUnauthorizedAccess:Lambda/TorClientUnauthorizedAccess:Lambda/TorRelay
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lambda Protection 查找类型

本节介绍特定于您的Amazon Lambda资源并resourceType列为的查找类型Lambda。对于所有 Lambda 发现,我们建议您检查相关资源并确定其行为是否符合预期。如果活动获得授权,则可以使用抑制规则可信 IP 和威胁列表来防止针对该资源的误报通知。

如果活动意外,最佳安全做法是假设 Lambda 可能遭到入侵,并遵循补救建议。

Backdoor:Lambda/C&CActivity.B

Lambda 函数正在查询与已知命令和控制服务器关联的 IP 地址。

默认严重级别:高

  • 功能:Lambda 网络活动监控

这一发现告诉您,Amazon您的环境中列出的 Lambda 函数正在查询与已知命令和控制 (C&C) 服务器关联的 IP 地址。与生成的调查结果关联的 Lambda 函数可能遭到破坏。C&C 服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是感染了相同类型恶意软件并受其控制的一组连接到 Internet 的设备 (其中可能包括 PC、服务器、移动设备和物联网设备)。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的用途和结构,C&C 服务器也可以发布命令来启动分布式拒绝服务 (DDoS) 攻击。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数

CryptoCurrency:Lambda/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别:高

  • 功能:Lambda 网络活动监控

此调查结果通知您,您 Amazon 环境中的 EC2 实例正在查询与比特币或其他加密货币相关活动关联的 IP 地址。威胁行为者可能会试图控制 Lambda 函数,以便恶意地将其重新用于未经授权的加密货币挖矿。

修复建议:

如果您使用此 Lambda 函数来挖掘或管理加密货币,或者该函数以其他方式参与区块链活动,则它可能是您环境的预期活动。如果您的环境中出现这种情况,我们建议您为此调查结果设置隐藏规则。禁止规则应由两个筛选条件组成。第一个条件应使用 Finding type (调查结果类型) 属性,其值为 。第二个筛选条件应该是区块链活动中涉及的函数的 Lambda 函数名称。有关创建禁止规则的信息,请参阅禁止规则

如果此活动出乎意料,则您的 Lambda 函数可能会受到损害。有关更多信息,请参阅修复可能受损的 Lambda 函数

Trojan:Lambda/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

默认严重级别:中

  • 功能:Lambda 网络活动监控

这一发现告诉您,Amazon您的环境中列出的 Lambda 函数正在尝试与黑洞(或漏洞)的 IP 地址进行通信。黑洞是指网络中这样的位置:传入或传出流量将会无提示放弃,不向源通知其数据未达到其目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。列出的 Lambda 函数可能遭到入侵。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数

Trojan:Lambda/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

默认严重级别:中

  • 功能:Lambda 网络活动监控

此调查结果通知您,您 Amazon 环境中的 EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 函数正在与自定义威胁列表上的 IP 地址建立连接。

默认严重级别:中

  • 功能:Lambda 网络活动监控

此调查结果通知您,您 Amazon 环境中的 EC2 实例出站通信所指向的 IP 地址,包括在您上传的威胁列表中。在 中,威胁列表包含已知的恶意 IP 地址。 将根据已上传威胁列表生成结果。您可以在 GuardDuty 控制台的发现详情中查看威胁列表的详细信息。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数

UnauthorizedAccess:Lambda/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

默认严重级别:高

  • 功能:Lambda 网络活动监控

此调查结果告知您,您 Amazon 环境中的 EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能表示此 Lambda 函数可能已遭到入侵。它现在充当 Tor 网络上的客户端。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数

UnauthorizedAccess:Lambda/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。

默认严重级别:高

  • 功能:Lambda 网络活动监控

此调查结果告知您,您 Amazon 环境中的 EC2 实例正在以一种暗示其充当 Tor 中继的方式与 Tor 网络建立连接。Tor 是用于实现匿名通信的软件。Tor 中继通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继,来提高通信的匿名程度。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅。有关更多信息,请参阅修复可能受损的 Lambda 函数