Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Laufzeitüberwachung: Typen finden

Amazon GuardDuty generiert die folgenden Runtime Monitoring-Ergebnisse, um auf potenzielle Bedrohungen hinzuweisen, die auf dem Verhalten von EC2 Amazon-Hosts und Containern in Ihren EKS Amazon-Clustern, Fargate- und ECS Amazon-Workloads sowie Amazon-Instances auf Betriebssystemebene basieren. EC2

CryptoCurrency:Runtime/BitcoinTool.B

Eine EC2 Amazon-Instance oder ein Container fragt eine IP-Adresse ab, die mit einer kryptowährungsbezogenen Aktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder ein Container in Ihrer AWS Umgebung eine IP-Adresse abfragt, die mit einer kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instanz oder einen Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn eine dieser Instanzen anderweitig an Blockchain-Aktivitäten beteiligt ist, CryptoCurrency:Runtime/BitcoinTool.B Das Ergebnis könnte die erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Eine EC2 Amazon-Instance oder ein Container fragt eine IP ab, die einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder ein Container in Ihrer AWS Umgebung eine IP abfragt, die einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgeführte Instance oder der aufgeführte Container sind möglicherweise gefährdet. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen ServerPCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen Distributed-Denial-of-Service () -Angriff zu starten. DDoS

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

Ihre EC2 Amazon-Instance oder ein Container stellt als Tor-Relay Verbindungen zu einem Tor-Netzwerk her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instance oder ein Container in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

Deine EC2 Amazon-Instance oder ein Container stellt Verbindungen zu einem Tor Guard- oder Authority-Knoten her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert dich darüber, dass eine EC2 Instance oder ein Container in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Verkehr kann darauf hinweisen, dass diese EC2 Instanz oder der Container potenziell kompromittiert wurde und als Client in einem Tor-Netzwerk fungiert. Dieser Befund kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Eine EC2 Amazon-Instance oder ein Container versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, bei dem es sich um ein bekanntes schwarzes Loch handelt.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder ein Container in Ihrer AWS Umgebung möglicherweise kompromittiert ist, weil versucht wird, mit der IP-Adresse eines schwarzen Lochs (oder Sink Hole) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint

Eine EC2 Amazon-Instance oder ein Container versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instance oder ein Container in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Kryptowährungsaktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder ein Container in Ihrer AWS Umgebung einen Domainnamen abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instanz oder diesen Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn eine dieser Instanzen anderweitig an Blockchain-Aktivitäten beteiligt ist, CryptoCurrency:Runtime/BitcoinTool.B!DNS Das Finden könnte eine erwartete Aktivität für Ihre Umgebung sein. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung einen Domainnamen abfragt, der einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgelistete EC2 Instance oder der Container ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen ServerPCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen Distributed-Denial-of-Service () -Angriff zu starten. DDoS

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der an eine Black-Hole-IP-Adresse umgeleitet wird.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung möglicherweise kompromittiert ist, weil sie einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Eine EC2 Amazon-Instance oder ein Container fragt den Domainnamen eines Remote-Hosts ab, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instance oder ein Container in Ihrer AWS Umgebung den Domainnamen eines Remote-Hosts abfragt, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Eine EC2 Amazon-Instance oder ein Container fragt algorithmisch generierte Domains ab. Solche Domains werden häufig von Malware verwendet und können ein Hinweis auf eine kompromittierte EC2 Instance oder einen Container sein.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung versucht, Domänen des Algorithmus zur Domänengenerierung (DGA) abzufragen. Ihre Ressource wurde möglicherweise kompromittiert.

DGAswerden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Eine EC2 Amazon-Instance oder ein Container fragt den Domainnamen eines Remote-Hosts ab, der eine bekannte Quelle für Drive-By-Download-Angriffe ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil er den Domainnamen eines Remote-Hosts abfragt, der eine bekannte Quelle für Drive-by-Download-Angriffe ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Eine EC2 Amazon-Instance oder ein Container fragt Domains ab, die an Phishing-Angriffen beteiligt sind.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass es in Ihrer AWS Umgebung eine EC2 Instance oder einen Container gibt, der versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2 Instance oder der Container versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2 Instance oder der Container ist möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit bekanntermaßen missbrauchten Domains verknüpft ist.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung einen Domainnamen mit geringer Reputation abfragt, der mit bekanntermaßen missbrauchten Domains oder IP-Adressen verknüpft ist. Beispiele für missbräuchliche Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomainregistrierungen bieten, sowie dynamische Anbieter. DNS Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgelistete EC2 Amazon-Instance oder der Container können gefährdet sein, da Bedrohungsakteure diese Registrare oder Dienste häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit kryptowährungsbezogenen Aktivitäten verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten in Verbindung steht. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instance oder den Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Ressourcen anderweitig an Blockchain-Aktivitäten beteiligt sind, könnte dieses Ergebnis die erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert Impact:Runtime/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährung oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen verknüpft ist. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Instance oder der Container in Ihrer AWS Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmten. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Eine EC2 Amazon-Instance oder ein Container führt DNS Suchvorgänge durch, die zum Instance-Metadaten-Service weitergeleitet werden.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instance oder ein Container in Ihrer AWS Umgebung eine Domain abfragt, die in die EC2 Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS Abfrage kann darauf hinweisen, dass die Instance das Ziel einer Rebinding-Technik ist. DNS Diese Technik kann verwendet werden, um Metadaten von einer EC2 Instanz abzurufen, einschließlich der mit der Instanz verknüpften IAM Anmeldeinformationen.

DNSBeim erneuten Binden wird eine Anwendung, die auf der EC2 Instanz ausgeführt wird, dazu gebracht, Rückgabedaten von a zu ladenURL, wobei der Domainname in der in die EC2 Metadaten-IP-Adresse () URL aufgelöst wird. 169.254.169.254 Dadurch wird die Anwendung veranlasst, auf EC2 Metadaten zuzugreifen und sie möglicherweise dem Angreifer zur Verfügung zu stellen.

Der Zugriff auf EC2 Metadaten mithilfe von DNS Rebinding ist nur möglich, wenn auf der EC2 Instanz eine anfällige Anwendung ausgeführt wird, die die Injektion von ermöglichtURLs, oder wenn jemand URL in einem Webbrowser, der auf der EC2 Instanz läuft, auf sie zugreift.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Als Reaktion auf dieses Ergebnis sollten Sie prüfen, ob auf der EC2 Instance oder im Container eine anfällige Anwendung läuft oder ob jemand einen Browser verwendet hat, um auf die in der Entdeckung identifizierte Domain zuzugreifen. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie feststellen, dass dieses Ergebnis mit einem der oben genannten Fälle zusammenhängt, widerrufen Sie die mit der EC2 Instanz verknüpfte Sitzung.

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert UnauthorizedAccess:Runtime/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte die DNSAnforderungsdomäne oder die Container-Image-ID des Containers sein. Der Wert der DNSAnforderungsdomäne sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse (169.254.169.254) zugeordnet haben. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

Eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container wurde ausgeführt.

Standard-Schweregrad: Mittel

Dieser Befund informiert Sie darüber, dass eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container ausgeführt wurde. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Dieses Verhalten weist darauf hin, dass ein böswilliger Akteur, der Zugriff auf den Container erlangt hat, im Rahmen der potenziellen Sicherheitslücke Malware oder andere Software heruntergeladen und ausgeführt hat. Diese Art von Aktivität könnte zwar ein Hinweis auf eine Gefährdung sein, ist aber auch ein übliches Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Um den modifizierten Prozess und die neue Binärdatei zu identifizieren, sehen Sie sich die Details zum Änderungsprozess und die Prozessdetails an

Die Details des Änderungsprozesses befinden sich im service.runtimeDetails.context.modifyingProcess Feld für das Ergebnis JSON oder unter Prozess ändern im Bereich mit den Ergebnisdetails. Bei diesem Befundtyp ist /usr/bin/dpkg der Änderungsprozess entweder durch das service.runtimeDetails.context.modifyingProcess.executablePath Feld des Ergebnisses gekennzeichnetJSON, oder er ist Teil des Änderungsprozesses im Bereich mit den Ergebnisdetails.

Die Details der ausgeführten neuen oder geänderten Binärdatei sind im service.runtimeDetails.process Abschnitt „ErgebnisJSON“ oder „Prozess“ unter „Laufzeitdetails“ enthalten. Bei diesem Befundtyp ist die neue oder geänderte Binärdatei/usr/bin/python3.8, wie im Feld service.runtimeDetails.process.executablePath (Ausführbarer Pfad) angegeben.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Ein Prozess in einem Container kommuniziert über den Docker-Socket mit dem Docker-Daemon.

Standard-Schweregrad: Mittel

Der Docker-Socket ist ein Unix-Domain-Socket, den Docker-Daemon (dockerd) verwendet, um mit seinen Clients zu kommunizieren. Ein Client kann verschiedene Aktionen ausführen, z. B. das Erstellen von Containern, indem er über den Docker-Socket mit dem Docker-Daemon kommuniziert. Es ist verdächtig, dass ein Container-Prozess auf den Docker-Socket zugreift. Ein Container-Prozess kann den Container verlassen und Zugriff auf Host-Ebene erhalten, indem er mit dem Docket-Socket kommuniziert und einen privilegierten Container erstellt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

Ein Versuch, einem Container über RunC zu entkommen, wurde festgestellt.

Standard-Schweregrad: Hoch

RunC ist die Low-Level-Container-Runtime, die Container-Laufzeiten auf hoher Ebene wie Docker und Containerd verwenden, um Container zu erzeugen und auszuführen. RunC wird immer mit Root-Rechten ausgeführt, da es die Low-Level-Aufgabe, einen Container zu erstellen, ausführen muss. Ein Bedrohungsakteur kann sich Zugriff auf Host-Ebene verschaffen, indem er eine Sicherheitslücke in der RunC-Binärdatei entweder modifiziert oder ausnutzt.

Dieses Ergebnis deckt Änderungen an der RunC-Binärdatei und mögliche Versuche auf, die folgenden RunC-Schwachstellen auszunutzen:

Dieses Ergebnis kann darauf hindeuten, dass ein böswilliger Akteur versucht hat, einen der folgenden Containertypen auszunutzen:

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Ein Versuch, einem Container durch den CGroups Release-Agent zu entkommen, wurde festgestellt.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass ein Versuch erkannt wurde, eine Release-Agent-Datei für eine Kontrollgruppe (Cgroup) zu ändern. Linux verwendet Kontrollgruppen (Cgroups), um die Ressourcennutzung einer Reihe von Prozessen einzuschränken, zu berücksichtigen und zu isolieren. Jede Cgroup hat eine Release-Agent-Datei (release_agent), ein Skript, das Linux ausführt, wenn ein Prozess innerhalb der Cgroup beendet wird. Die Release-Agent-Datei wird immer auf Host-Ebene ausgeführt. Ein Bedrohungsakteur in einem Container kann zum Host entkommen, indem er beliebige Befehle in die Release-Agent-Datei schreibt, die zu einer Cgroup gehört. Wenn ein Prozess innerhalb dieser Cgroup beendet wird, werden die vom Akteur geschriebenen Befehle ausgeführt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion mithilfe des proc-Dateisystems festgestellt.

Standard-Schweregrad: Hoch

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Das proc-Dateisystem (procfs) ist ein spezielles Dateisystem in Linux, das den virtuellen Speicher eines Prozesses als Datei darstellt. Der Pfad dieser Datei ist /proc/PID/mem, wobei PID die eindeutige ID des Prozesses ist. Ein Bedrohungsakteur kann in diese Datei schreiben, um Code in den Prozess einzuschleusen. Diese Erkenntnis identifiziert potenzielle Versuche, in diese Datei zu schreiben.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion mithilfe eines ptrace-Systemaufrufs festgestellt.

Standard-Schweregrad: Mittel

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann den ptrace-Systemaufruf verwenden, um Code in einen anderen Prozess einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe des Systemaufrufs ptrace Code in einen Prozess einzuschleusen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion durch direktes Schreiben in den virtuellen Speicher erkannt.

Standard-Schweregrad: Hoch

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann einen Systemaufruf wie process_vm_writev verwenden, um Code direkt in den virtuellen Speicher eines anderen Prozesses einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe eines Systemaufrufs Code in den virtuellen Speicher eines Prozesses einzuschleusen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/ReverseShell

Ein Prozess in einem Container oder einer EC2 Amazon-Instance hat eine umgekehrte Shell erstellt.

Standard-Schweregrad: Hoch

Eine Reverse-Shell ist eine Shell-Sitzung, die auf einer Verbindung erstellt wird, die vom Zielhost zum Host des Akteurs initiiert wird. Dies ist das Gegenteil einer normalen Shell, die vom Host des Akteurs zum Host des Ziels initiiert wird. Bedrohungsakteure erstellen eine Reverse-Shell, um Befehle auf dem Ziel auszuführen, nachdem sie sich den ersten Zugriff auf das Ziel verschafft haben. Diese Erkenntnis weist auf einen möglichen Versuch hin, eine Reverse-Shell zu erstellen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert.

DefenseEvasion:Runtime/FilelessExecution

Ein Prozess in einem Container oder einer EC2 Amazon-Instance führt Code aus dem Speicher aus.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, wenn ein Prozess mit einer im Speicher befindlichen ausführbaren Datei auf der Festplatte ausgeführt wird. Dabei handelt es sich um eine gängige Technik zur Umgehung von Schutzmaßnahmen, bei der verhindert wird, dass die schädliche ausführbare Datei auf die Festplatte geschrieben wird, um der Erkennung durch Dateisystem-Scans zu entgehen. Diese Technik wird zwar von Schadsoftware verwendet, hat aber auch einige legitime Anwendungsfälle. Eines der Beispiele ist ein just-in-time (JIT) -Compiler, der kompilierten Code in den Speicher schreibt und ihn aus dem Speicher ausführt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Ein Container oder eine EC2 Amazon-Instance führt eine Binärdatei aus, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Container oder eine EC2 Instance in Ihrer AWS Umgebung eine Binärdatei ausführt, die mit einer Mining-Aktivität für Kryptowährungen verknüpft ist. Bedrohungsakteure können versuchen, die Kontrolle über Datenverarbeitungsressourcen zu übernehmen, um sie böswillig für das unerlaubte Mining von Kryptowährungen umzuwidmen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty KonsoleBehebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Eine neu erstellte oder kürzlich geänderte Bibliothek wurde von einem Prozess in einen Container geladen.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass eine Bibliothek während der Laufzeit in einem Container erstellt oder geändert und von einem Prozess geladen wurde, der innerhalb des Containers ausgeführt wird. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Das Laden einer neu erstellten oder geänderten Bibliothek in einen Container kann auf verdächtige Aktivitäten hinweisen. Dieses Verhalten weist auf einen böswilligen Akteur hin, der sich Zugriff auf den Container verschafft und im Rahmen der potenziellen Sicherheitslücke Malware oder andere Software heruntergeladen und ausgeführt hat. Diese Art von Aktivität könnte zwar ein Hinweis auf eine Beeinträchtigung sein, ist aber auch ein übliches Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Ein Prozess in einem Container hat zur Laufzeit ein Host-Dateisystem gemountet.

Standard-Schweregrad: Mittel

Bei mehreren Techniken zur Container-Escape-Methode wird zur Laufzeit ein Host-Dateisystem in einem Container gemountet. Diese Erkenntnis informiert Sie darüber, dass ein Prozess in einem Container möglicherweise versucht hat, ein Host-Dateisystem zu mounten, was auf einen Fluchtversuch zum Host hindeuten kann.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Ein Prozess verwendete userfaultfd-Systemaufrufe, um Seitenfehler im Benutzerbereich zu behandeln.

Standard-Schweregrad: Mittel

Typischerweise werden Seitenfehler vom Kernel im Kernel-Space behandelt. Ein userfaultfd-Systemaufruf ermöglicht es einem Prozess jedoch, Seitenfehler in einem Dateisystem in der Benutzerumgebung zu behandeln. Dies ist eine nützliches Feature, die die Implementierung von Dateisystemen in der Benutzerumgebung ermöglicht. Andererseits kann sie auch von einem potenziell bösartigen Prozess verwendet werden, um den Kernel von der Benutzerumgebung aus zu unterbrechen. Das Unterbrechen des Kernels mithilfe eines userfaultfd-Systemaufrufs ist eine gängige Ausnutzungstechnik, um Race-Fenster zu verlängern, während die Kernel-Race-Bedingungen ausgenutzt werden. Die Verwendung von userfaultfd kann auf verdächtige Aktivitäten auf der Amazon Elastic Compute Cloud (AmazonEC2) -Instance hinweisen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousTool

In einem Container oder einer EC2 Amazon-Instance wird eine Binärdatei oder ein Binärskript ausgeführt, das häufig in offensiven Sicherheitsszenarien wie Pentesting verwendet wird.

Standardschweregrad: Variabel

Der Schweregrad dieser Feststellung kann entweder hoch oder niedrig sein, je nachdem, ob das erkannte verdächtige Tool als doppelt oder ausschließlich für anstößige Zwecke verwendet wird.

Dieser Befund informiert Sie darüber, dass ein verdächtiges Tool auf einer EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dazu gehören Tools, die bei Pentesting-Projekten verwendet werden, auch bekannt als Backdoor-Tools, Netzwerkscanner und Netzwerk-Sniffer. All diese Tools können in harmlosen Kontexten eingesetzt werden, werden aber auch häufig von Bedrohungsakteuren mit böswilligen Absichten eingesetzt. Die Beobachtung anstößiger Sicherheitstools könnte darauf hindeuten, dass die zugehörige EC2 Instance oder der zugehörige Container kompromittiert wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder einem Container ausgeführt, der auf eine Kompromittierung hindeutet.

Standardschweregrad: Variabel

Je nach Auswirkung des beobachteten Schadmusters kann der Schweregrad dieses Erkennungstyps entweder niedrig, mittel oder hoch sein.

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl ausgeführt wurde, und weist darauf hin, dass eine EC2 Amazon-Instance oder ein Container in Ihrer AWS Umgebung kompromittiert wurde. Dies kann bedeuten, dass entweder eine Datei von einer verdächtigen Quelle heruntergeladen und dann ausgeführt wurde oder dass ein laufender Prozess in seiner Befehlszeile ein bekanntes bösartiges Muster anzeigt. Dies deutet weiter darauf hin, dass Malware auf dem System ausgeführt wird.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Ein Befehl wurde auf der aufgelisteten EC2 Amazon-Instance oder einem Container ausgeführt. Er versucht, einen Linux-Abwehrmechanismus wie eine Firewall oder wichtige Systemdienste zu ändern oder zu deaktivieren.

Standardschweregrad: Variabel

Je nachdem, welcher Abwehrmechanismus geändert oder deaktiviert wurde, kann der Schweregrad dieses Erkennungstyps entweder hoch, mittel oder niedrig sein.

Dieses Ergebnis informiert Sie darüber, dass ein Befehl ausgeführt wurde, der versucht, einen Angriff vor den Sicherheitsdiensten des lokalen Systems zu verbergen. Dazu gehören Aktionen wie das Deaktivieren der Unix-Firewall, das Ändern lokaler IP-Tabellen und das Entfernen crontab Einträge, Deaktivierung eines lokalen Dienstes oder Übernahme der LDPreload Funktion. Jede Änderung ist äußerst verdächtig und ein potenzieller Hinweis auf eine Beeinträchtigung. Daher erkennen oder verhindern diese Mechanismen weitere Beeinträchtigungen des Systems.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Ein Prozess in einem Container oder einer EC2 Amazon-Instance hat mithilfe des ptrace-Systemaufrufs eine Anti-Debugging-Maßnahme ausgeführt.

Standard-Schweregrad: Niedrig

Dieses Ergebnis zeigt, dass ein Prozess, der auf einer EC2 Amazon-Instance oder einem Container in Ihrer AWS Umgebung läuft, den ptrace-Systemaufruf mit der PTRACE_TRACEME Option verwendet hat. Diese Aktivität würde dazu führen, dass sich ein angehängter Debugger vom laufenden Prozess trennt. Wenn kein Debugger angehängt ist, hat dies keine Wirkung. Die Aktivität an sich erweckt jedoch Verdacht. Dies könnte darauf hindeuten, dass Malware auf dem System ausgeführt wird. Malware verwendet häufig Anti-Debugging-Techniken, um Analysen zu umgehen. Diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieses Ergebnis nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Eine bekannte bösartige ausführbare Datei wurde auf einer EC2 Amazon-Instance oder einem Container ausgeführt.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine bekannte bösartige ausführbare Datei auf einer EC2 Amazon-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dies ist ein starker Indikator dafür, dass die Instance oder der Container potenziell kompromittiert wurde und dass Malware ausgeführt wurde.

Malware verwendet häufig Anti-Debugging-Techniken, um Analysen zu umgehen, und diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieses Ergebnis nur dann generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousShellCreated

Ein Netzwerkdienst oder ein über das Netzwerk zugänglicher Prozess auf einer EC2 Amazon-Instance oder in einem Container hat einen interaktiven Shell-Prozess gestartet.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass ein über das Netzwerk zugänglicher Service auf einer EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung eine interaktive Shell gestartet hat. Unter bestimmten Umständen kann dieses Szenario auf ein Verhalten nach der Nutzung hinweisen. Interaktive Shells ermöglichen es Angreifern, beliebige Befehle auf einer kompromittierten Instance oder einem kompromittierten Container auszuführen.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Sie können die Prozessinformationen, auf die über das Netzwerk zugegriffen werden kann, in den Details des übergeordneten Prozesses einsehen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/ElevationToRoot

Ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder dem aufgelisteten Amazon-Container ausgeführt wird, hat Root-Rechte übernommen.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf dem aufgelisteten Amazon EC2 oder im aufgelisteten Container in Ihrer AWS Umgebung läuft, durch ungewöhnliche oder verdächtige setuid Binärausführung Root-Rechte erlangt hat. Dies deutet darauf hin, dass ein laufender Prozess potenziell kompromittiert wurde, z. EC2 B. durch einen Exploit oder durch setuid Ausnutzung. Mithilfe der Root-Rechte kann der Angreifer möglicherweise Befehle auf der Instance oder dem Container ausführen.

Es GuardDuty ist zwar so konzipiert, dass es diesen Erkennungstyp nicht für Aktivitäten generiert, bei denen der sudo Befehl regelmäßig verwendet wird, generiert dieses Ergebnis jedoch, wenn es die Aktivität als ungewöhnlich oder verdächtig identifiziert.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Discovery:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Informationen über das lokale System, die umliegende AWS Infrastruktur oder die Container-Infrastruktur zu erhalten.

Standard-Schweregrad: Niedrig

Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2 Amazon-Instance oder der aufgelistete Amazon-Container in Ihrer AWS Umgebung einen Befehl ausgeführt hat, der einem Angreifer wichtige Informationen liefern könnte, um den Angriff potenziell voranzutreiben. Die folgenden Informationen wurden möglicherweise abgerufen:

Die EC2 Amazon-Instance oder der Container, der in den Funddetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole. Die Details zu dem verdächtigen Befehl finden Sie im service.runtimeDetails.context Feld der EntdeckungJSON.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Persistence:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, dauerhaft auf Ihre AWS Umgebung zuzugreifen und sie zu kontrollieren.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl auf einer EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wurde. Der Befehl installiert eine Persistenzmethode, die es ermöglicht, dass Malware ununterbrochen ausgeführt wird oder es einem Angreifer ermöglicht, kontinuierlich auf die potenziell gefährdete Instanz oder den Container-Ressourcentyp zuzugreifen. Dies könnte bedeuten, dass ein Systemdienst installiert oder geändert wurde, dass der Systemkonfiguration geändert crontab wurde oder dass ein neuer Benutzer zur Systemkonfiguration hinzugefügt wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die EC2 Amazon-Instance oder der Container, der in den Funddetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole. Die Details zu dem verdächtigen Befehl finden Sie im service.runtimeDetails.context Feld der EntdeckungJSON.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Rechte zu eskalieren.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl auf einer EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wurde. Der Befehl versucht, eine Rechteeskalation durchzuführen, die es einem Angreifer ermöglicht, Aufgaben mit hohen Rechten auszuführen.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die EC2 Amazon-Instance oder der Container, der in den Funddetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.