Lambda 保护调查发现类型 - Amazon GuardDuty
Backdoor:Lambda/C&CActivity.BCryptoCurrency:Lambda/BitcoinTool.BTrojan:Lambda/BlackholeTrafficTrojan:Lambda/DropPointUnauthorizedAccess:Lambda/MaliciousIPCaller.CustomUnauthorizedAccess:Lambda/TorClientUnauthorizedAccess:Lambda/TorRelay
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lambda 保护调查发现类型

本节介绍特定于您的 Amazon Lambda 资源并resourceType列为的查找类型Lambda。对于所有 Lambda 调查发现,我们建议您检查相关资源,并确定其行为是否符合预期。如果活动获得授权,则可以使用抑制规则可信 IP 和威胁列表,来防止针对该资源的误报通知。

如果意外进行此活动,最佳安全实践是假设 Lambda 可能已受到攻击,并遵循修复建议。

Backdoor:Lambda/C&CActivity.B

使用 Lambda 函数查询与已知命令与控制服务器关联的 IP 地址。

默认严重级别:高

  • 功能:Lambda 网络活动监控

这一发现告诉您, Amazon 您的环境中列出的 Lambda 函数正在查询与已知命令和控制 (C&C) 服务器关联的 IP 地址。与生成的调查发现关联的 Lambda 函数可能已泄露。C&C 服务器是向僵尸网络的成员发布命令的计算机。

僵尸网络是一组联网的设备,可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令启动分布式拒绝服务攻击。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

CryptoCurrency:Lambda/BitcoinTool.B

Lambda 函数正在查询与加密货币相关活动关联的 IP 地址。

默认严重级别:高

  • 功能:Lambda 网络活动监控

这一发现告诉您, Amazon 您的环境中列出的 Lambda 函数正在查询与比特币或其他加密货币相关活动关联的 IP 地址。威胁行为者可能试图控制 Lambda 函数,从而恶意地将其重新用于未经授权的加密货币挖掘。

修复建议:

如果您使用此 Lambda 函数来挖掘或管理加密货币,或者此函数以其他方式参与区块链活动,则该活动可能是您环境的预期活动。如果您的 Amazon 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个标准应使用值为 finding type 属性 CryptoCurrency:Lambda/BitcoinTool.B。 第二个筛选条件应该是区块链活动中涉及的函数的 Lambda 函数名称。有关创建抑制规则的信息,请参阅抑制规则

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

Trojan:Lambda/BlackholeTraffic

Lambda 函数正在尝试与已知黑洞远程主机的 IP 地址进行通信。

默认严重级别:中

  • 功能:Lambda 网络活动监控

这一发现告诉您, Amazon 您的环境中列出的 Lambda 函数正在尝试与黑洞(或漏洞)的 IP 地址进行通信。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未分配主机的地址。列出的 Lambda 函数可能已泄露。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

Trojan:Lambda/DropPoint

Lambda 函数正在尝试与已知持有恶意软件捕获的凭证和其他被盗数据的远程主机的 IP 地址进行通信

默认严重级别:中

  • 功能:Lambda 网络活动监控

这一发现告诉您, Amazon 您的环境中列出的 Lambda 函数正在尝试与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭证和其他被盗数据。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 函数正在与自定义威胁列表上的 IP 地址建立连接。

默认严重级别:中

  • 功能:Lambda 网络活动监控

这一发现告诉您,您环境中的 Lambda 函数正在与 Amazon 您上传的威胁列表中包含的 IP 地址进行通信。在中 GuardDuty,威胁列表由已知的恶意 IP 地址组成。 GuardDuty 根据上传的威胁列表生成调查结果。您可以在 GuardDuty控制台的发现详细信息中查看威胁列表的详细信息。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

UnauthorizedAccess:Lambda/TorClient

Lambda 函数正在与 Tor Guard 或 Authority 节点建立连接。

默认严重级别:高

  • 功能:Lambda 网络活动监控

这一发现告诉您, Amazon 您的环境中的 Lambda 函数正在与 Tor Guard 或授权节点建立连接。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当进入 Tor 网络的初始网关。此流量能够指示 Lambda 函数可能已泄露。现在充当 Tor 网络上的客户端。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数

UnauthorizedAccess:Lambda/TorRelay

Lambda 函数作为 Tor 中继连接到 Tor 网络。

默认严重级别:高

  • 功能:Lambda 网络活动监控

这一发现告诉你, Amazon 你环境中的一个 Lambda 函数正在与 Tor 网络建立连接,这表明它充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端的潜在非法流量从一个 Tor 中继转发到另一个 Tor 中继,来实现匿名通信。

修复建议:

如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 修复可能失陷的 Lambda 函数