GuardDuty EC2 buscar tipos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los siguientes hallazgos son específicos de EC2 los recursos de Amazon y siempre tienen un tipo de recurso deInstance. La gravedad y los detalles de los hallazgos varían según la función del recurso, que indica si el EC2 recurso fue el objetivo de una actividad sospechosa o el actor que la realizó.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para más información sobre los orígenes de datos y modelos, consulte GuardDuty fuentes de datos fundamentales.

Para todos los EC2 resultados, se recomienda examinar el recurso en cuestión para determinar si se comporta de la manera esperada. Si la actividad está autorizada, puede utilizar reglas de supresión o listas de IP confiables para evitar las notificaciones de falsos positivos para ese recurso. Si la actividad es inesperada, la práctica recomendada de seguridad consiste en asumir que la instancia se ha visto afectada y llevar a cabo las acciones detalladas en Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/C&CActivity.B

Una EC2 instancia consulta una IP asociada a un servidor de comando y control conocido.

Gravedad predeterminada: alta

Este resultado le informa de que hay una instancia que aparece en la lista dentro del entorno de AWS que está consultando a una IP asociada con un servidor de comando y control (C&C) conocido. La instancia de la lista podría haberse visto afectada. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Una botnet es un conjunto de dispositivos conectados a Internet que pueden incluir servidores PCs, dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Según el propósito y la estructura de la botnet, el servidor de C&C también puede emitir comandos para iniciar un ataque de denegación de servicio distribuido. DDo

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/C&CActivity.B!DNS

Una EC2 instancia consulta un nombre de dominio que está asociado a un servidor de comando y control conocido.

Gravedad predeterminada: alta

Este resultado le informa de que la instancia que se muestra en la lista dentro del entorno de AWS que está consultando a un nombre de dominio asociado con un servidor de comando y control (C&C) conocido. La instancia de la lista podría haberse visto afectada. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Una botnet es un conjunto de dispositivos conectados a Internet que pueden incluir servidores PCs, dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. Según el propósito y la estructura de la botnet, el servidor de C&C también puede emitir comandos para iniciar un ataque de denegación de servicio distribuido. DDo

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Dns

Una EC2 instancia se comporta de una manera que puede indicar que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo DNS.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia de su AWS entorno que aparece en la lista está generando un gran volumen de tráfico DNS saliente. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo DNS.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Tcp

Una EC2 instancia se comporta de una manera que indica que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo TCP.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia listada en su AWS entorno está generando un gran volumen de tráfico TCP saliente. Esto puede indicar que la instancia está comprometida y que se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo TCP.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.Udp

Una EC2 instancia se comporta de una manera que indica que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo UDP.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia listada en su AWS entorno genera un gran volumen de tráfico UDP saliente. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante el protocolo UDP.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Una EC2 instancia se comporta de una manera que puede indicar que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante el protocolo UDP en un puerto TCP.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia incluida en su AWS entorno genera un gran volumen de tráfico UDP saliente dirigido a un puerto que se utiliza normalmente para la comunicación TCP. Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizar un ataque denial-of-service (DoS) mediante el protocolo UDP en un puerto TCP.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/DenialOfService.UnusualProtocol

Una EC2 instancia se comporta de una manera que puede indicar que se está utilizando para realizar un ataque de denegación de servicio (DoS) mediante un protocolo inusual.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia incluida en su AWS entorno genera un gran volumen de tráfico saliente a partir de un tipo de protocolo inusual que no suelen utilizar las EC2 instancias, como el Protocolo de administración de grupos de Internet. Esto puede indicar que la instancia está comprometida y se está utilizando para realizar ataques denial-of-service (DoS) mediante un protocolo inusual. Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son los objetivos principales de este tipo de ataques.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/Spambot

Una EC2 instancia presenta un comportamiento inusual al comunicarse con un host remoto en el puerto 25.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de la lista en su AWS entorno se está comunicando con un host remoto en el puerto 25. Este comportamiento es inusual porque esta EC2 instancia no tiene un historial previo de comunicaciones en el puerto 25. El puerto 25 lo utilizan tradicionalmente los servidores de correo para las comunicaciones SMTP. Este hallazgo indica que su EC2 instancia podría estar comprometida si se la utiliza para enviar spam.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Behavior:EC2/NetworkPortUnusual

Una EC2 instancia se está comunicando con un host remoto en un puerto de servidor inusual.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia listada en su AWS entorno se comporta de una manera que se desvía de la línea base establecida. Esta EC2 instancia no tiene un historial previo de comunicaciones en este puerto remoto.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Behavior:EC2/TrafficVolumeUnusual

Una EC2 instancia genera cantidades inusualmente grandes de tráfico de red hacia un host remoto.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de la lista en su AWS entorno se comporta de una manera que se desvía de la línea base establecida. Esta EC2 instancia no tiene un historial previo de enviar tanto tráfico a este host remoto.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

CryptoCurrency:EC2/BitcoinTool.B

Una EC2 instancia consulta una dirección IP asociada a una actividad relacionada con las criptomonedas.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de su AWS entorno que aparece en la lista está consultando una dirección IP asociada a Bitcoin o a otra actividad relacionada con las criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Recomendaciones de corrección:

Si usa esta EC2 instancia para extraer o administrar criptomonedas, o si esta instancia está involucrada de alguna otra manera en la actividad de la cadena de bloques, este hallazgo podría ser una actividad esperada para su entorno. Si este es el caso en su entorno de AWS , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Una EC2 instancia consulta un nombre de dominio asociado a una actividad relacionada con las criptomonedas.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia que aparece en su AWS entorno está consultando un nombre de dominio asociado a Bitcoin u otra actividad relacionada con las criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Recomendaciones de corrección:

Si usa esta EC2 instancia para extraer o administrar criptomonedas, o si esta instancia está involucrada de alguna otra manera en la actividad de la cadena de bloques, este hallazgo podría ser una actividad esperada para su entorno. Si este es el caso en su entorno de AWS , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDNSResolver

Una EC2 instancia de Amazon se comunica con un solucionador de DNS público inusual.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de Amazon listada en su AWS entorno se comporta de una manera que se desvía del comportamiento de referencia. Esta EC2 instancia no tiene un historial reciente de comunicación con este solucionador de DNS público. El campo Inusual del panel de detalles de búsqueda de la GuardDuty consola puede proporcionar información sobre la resolución de DNS consultada.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDoHActivity

Una EC2 instancia de Amazon está realizando una comunicación DNS a través de HTTPS (DoH) inusual.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de Amazon listada en su AWS entorno se comporta de una manera que se desvía de la línea base establecida. Esta EC2 instancia no tiene ningún historial reciente de comunicaciones de DNS a través de HTTPS (DoH) con este servidor DoH público. El campo Inusual de los detalles de resultado puede proporcionar información sobre el servidor de DoH consultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

DefenseEvasion:EC2/UnusualDoTActivity

Una EC2 instancia de Amazon está realizando una comunicación DNS sobre TLS (DoT) inusual.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia listada en su AWS entorno se está comportando de una manera que se desvía de la línea base establecida. Esta EC2 instancia no tiene ningún historial reciente de comunicaciones de DNS a través de TLS (DoT) con este servidor DoT público. El campo Inusual del panel de detalles de resultado puede proporcionar información sobre el servidor DoT consultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/AbusedDomainRequest.Reputation

Una EC2 instancia es la consulta de un nombre de dominio de baja reputación que está asociado a dominios de los que se sabe que se ha utilizado indebidamente.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de Amazon listada en su AWS entorno está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP conocidos de uso indebido. Algunos ejemplos de dominios utilizados indebidamente son los nombres de dominio de nivel superior (TLDs) y los nombres de dominio de segundo nivel (2LDs), que ofrecen registros de subdominios gratuitos, así como proveedores de DNS dinámicos. Los actores de amenazas suelen utilizar estos servicios para registrar dominios de forma gratuita o a un bajo costo. Los dominios de baja reputación de esta categoría también pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento de un registrador y, por lo tanto, es posible que ya no estén activos. Una IP de estacionamiento es el lugar al que un registrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La EC2 instancia de Amazon que aparece en la lista puede estar comprometida, ya que los actores de amenazas suelen utilizar estos registradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/BitcoinDomainRequest.Reputation

Una EC2 instancia consiste en consultar un nombre de dominio de baja reputación que está asociado a una actividad relacionada con las criptomonedas.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia de Amazon listada en su AWS entorno está consultando un nombre de dominio de baja reputación asociado a Bitcoin u otra actividad relacionada con criptomonedas. Bitcoin es una criptomoneda mundial y un sistema de pago digital que se puede cambiar por otras monedas, productos y servicios. Bitcoin es una recompensa por la extracción de bitcoins y es muy solicitado por los actores de amenazas.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si utilizas esta EC2 instancia para extraer o gestionar criptomonedas, o si esta instancia está involucrada de algún otro modo en la actividad de la cadena de bloques, este hallazgo podría representar la actividad esperada para tu entorno. Si este es el caso en su entorno de AWS , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Impact:EC2/BitcoinDomainRequest.Reputation. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad de blockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/MaliciousDomainRequest.Reputation

Una EC2 instancia está consultando un dominio de baja reputación que está asociado a dominios maliciosos conocidos.

Gravedad predeterminada: alta

Este hallazgo le informa de que la EC2 instancia de Amazon listada en su AWS entorno está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP maliciosos conocidos. Por ejemplo, los dominios pueden estar asociados a una dirección IP conocida como oculta. Los dominios ocultos son aquellos que anteriormente estaban controlados por un agente de amenazas y las solicitudes que se les hagan pueden indicar que la instancia se ha visto afectada. Estos dominios también pueden estar correlacionados con campañas o algoritmos de generación de dominios maliciosos conocidos.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/PortSweep

Una EC2 instancia está explorando un puerto en un gran número de direcciones IP.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de su AWS entorno que aparece en la lista está probando un puerto en un gran número de direcciones IP enrutables públicamente. Este tipo de actividad se suele utilizar para encontrar hosts vulnerables y explotarlos. En el panel de detalles de búsqueda de la GuardDuty consola, solo se muestra la dirección IP remota más reciente

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/SuspiciousDomainRequest.Reputation

Un EC2 ejemplo es consultar un nombre de dominio de baja reputación que es de naturaleza sospechosa debido a su antigüedad o poca popularidad.

Gravedad predeterminada: baja

Este hallazgo le informa de que la EC2 instancia de Amazon que aparece en su AWS entorno está consultando un nombre de dominio de baja reputación que se sospecha que es malintencionado. Observó características de este dominio que eran consistentes con las de dominios maliciosos observados anteriormente; sin embargo, nuestro modelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general, estos dominios se han detectado recientemente o reciben poco tráfico.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Impact:EC2/WinRMBruteForce

Una EC2 instancia está realizando un ataque de fuerza bruta saliente de Windows Remote Management.

Gravedad predeterminada: baja*

Este hallazgo le informa de que la EC2 instancia indicada en su AWS entorno está realizando un ataque de fuerza bruta de Administración remota de Windows (WinRM) destinado a obtener acceso al servicio de Administración remota de Windows en sistemas basados en Windows.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Recon:EC2/PortProbeEMRUnprotectedPort

Una EC2 instancia tiene un puerto relacionado con el EMR desprotegido que está siendo investigado por un host malintencionado conocido.

Gravedad predeterminada: alta

Este hallazgo le informa de que un puerto confidencial relacionado con el EMR de la EC2 instancia de la lista que forma parte de un clúster de su AWS entorno no está bloqueado por un grupo de seguridad, una lista de control de acceso (ACL) o un firewall del host, como Linux. IPTables Además, este resultado informa de que analizadores conocidos en Internet sondean activamente este puerto. Los puertos que pueden desencadenar este resultado, como el puerto 8088 (puerto de IU web de YARN), se pueden utilizar potencialmente para la ejecución de código remoto.

Recomendaciones de corrección:

Debería bloquear el acceso libre a los puertos en los clústeres desde Internet y restringir el acceso solo a direcciones IP específicas que requieren acceso a estos puertos. Para obtener más información, consulte Grupos de seguridad para clústeres de EMR.

Recon:EC2/PortProbeUnprotectedPort

Una EC2 instancia tiene un puerto desprotegido que está siendo investigado por un host malintencionado conocido.

Gravedad predeterminada: baja*

Este hallazgo indica que un puerto de la EC2 instancia incluida en la lista de su AWS entorno no está bloqueado por un grupo de seguridad, una lista de control de acceso (ACL) o un firewall del host, como Linux IPTables, y que escáneres conocidos de Internet lo están investigando activamente.

Si el puerto desprotegido identificado es 22 o 3389 y utiliza estos puertos para conectarse a su instancia, aún puede limitar la exposición permitiendo el acceso a estos puertos solo a las direcciones IP desde el espacio de direcciones IP de su red corporativa. Para restringir el acceso al puerto 22 en Linux, consulte Autorización del tráfico de entrada para sus instancias de Linux. Para restringir el acceso al puerto 3389 en Windows, consulte Autorización del tráfico de entrada para sus instancias de Windows.

GuardDuty no genera este hallazgo para los puertos 443 y 80.

Recomendaciones de corrección:

Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso en su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Recon:EC2/Portscan

Una EC2 instancia está escaneando los puertos de salida a un host remoto.

Gravedad predeterminada: media

Este hallazgo le informa de que la EC2 instancia de su AWS entorno que aparece en la lista está siendo objeto de un posible ataque de escaneo de puertos porque está intentando conectarse a varios puertos durante un breve período de tiempo. El objetivo de un ataque de análisis de puertos es localizar puertos abiertos para detectar los servicios que está ejecutando el equipo e identificar su sistema operativo.

Recomendaciones de corrección:

Este hallazgo puede ser un falso positivo cuando se implementan aplicaciones de evaluación de vulnerabilidades en EC2 instancias de su entorno, ya que estas aplicaciones escanean los puertos para avisarle de la existencia de puertos abiertos mal configurados. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/BlackholeTraffic

Una EC2 instancia intenta comunicarse con una dirección IP de un host remoto que es un agujero negro conocido.

Gravedad predeterminada: media

Este hallazgo indica que la EC2 instancia de la lista en su AWS entorno podría estar comprometida porque está intentando comunicarse con la dirección IP de un agujero negro (o sumidero). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/BlackholeTraffic!DNS

Una EC2 instancia está consultando un nombre de dominio que se está redirigiendo a una dirección IP de un agujero negro.

Gravedad predeterminada: media

Este hallazgo indica que la EC2 instancia de tu AWS entorno que aparece en la lista podría estar comprometida porque está consultando un nombre de dominio que se está redirigiendo a una dirección IP de agujero negro. Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DGADomainRequest.B

Una EC2 instancia consulta dominios generados algorítmicamente. El malware suele utilizar estos dominios y podrían indicar que se trata de una instancia comprometida. EC2

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de su AWS entorno que aparece en la lista está intentando consultar los dominios del algoritmo de generación de dominios (DGA). Es posible que su EC2 instancia esté comprometida.

DGAs se utilizan para generar periódicamente una gran cantidad de nombres de dominio que pueden utilizarse como puntos de encuentro con sus servidores de mando y control (C&C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DGADomainRequest.C!DNS

Una EC2 instancia consulta dominios generados algorítmicamente. El malware suele utilizar estos dominios y podrían indicar que se trata de una instancia comprometida. EC2

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de su AWS entorno que aparece en la lista está intentando consultar los dominios del algoritmo de generación de dominios (DGA). Es posible que su EC2 instancia esté comprometida.

DGAs se utilizan para generar periódicamente una gran cantidad de nombres de dominio que pueden utilizarse como puntos de encuentro con sus servidores de mando y control (C&C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DNSDataExfiltration

Un EC2 ejemplo es la extracción de datos mediante consultas de DNS.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de la lista de su AWS entorno está ejecutando un software malicioso que utiliza consultas de DNS para las transferencias de datos salientes. Este tipo de transferencia de datos indica que se trata de una instancia afectada y podría provocar la exfiltración de datos. Por lo general, el tráfico de DNS no está bloqueado por los firewalls. Por ejemplo, en una EC2 instancia comprometida, el malware puede codificar datos (como el número de tu tarjeta de crédito) en una consulta de DNS y enviarlos a un servidor DNS remoto controlado por un atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DriveBySourceTraffic!DNS

Un EC2 ejemplo consiste en consultar el nombre de dominio de un servidor remoto que es una fuente conocida de ataques de descarga automática.

Gravedad predeterminada: alta

Este hallazgo indica que la EC2 instancia de su AWS entorno que aparece en la lista podría estar en peligro porque está consultando el nombre de dominio de un host remoto que es una fuente conocida de ataques de descargas clandestinas. Se trata de descargas no deseadas de software informático desde Internet que pueden desencadenar la instalación automática de un virus, spyware o malware.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DropPoint

Una EC2 instancia intenta comunicarse con una dirección IP de un host remoto del que se sabe que contiene credenciales y otros datos robados capturados por el malware.

Gravedad predeterminada: media

Este hallazgo le informa de que una EC2 instancia de su AWS entorno está intentando comunicarse con una dirección IP de un host remoto del que se sabe que guarda credenciales y otros datos robados capturados por el malware.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/DropPoint!DNS

Un EC2 ejemplo consiste en consultar el nombre de dominio de un host remoto del que se sabe que contiene credenciales y otros datos robados capturados por el malware.

Gravedad predeterminada: media

Este hallazgo le informa de que una EC2 instancia de su AWS entorno está consultando el nombre de dominio de un host remoto del que se sabe que guarda credenciales y otros datos robados capturados por software malicioso.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Trojan:EC2/PhishingDomainRequest!DNS

Un EC2 ejemplo es la consulta de dominios involucrados en ataques de suplantación de identidad. Es posible que tu EC2 instancia esté comprometida.

Gravedad predeterminada: alta

Este hallazgo le informa de que hay una EC2 instancia en su AWS entorno que intenta consultar un dominio implicado en ataques de suplantación de identidad. Los dominios de suplantación de identidad los configura alguien que se presenta como una institución legítima para inducir a las personas a proporcionar información confidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas. Es posible que tu EC2 instancia esté intentando recuperar datos confidenciales almacenados en un sitio web de suplantación de identidad o que esté intentando configurar un sitio web de suplantación de identidad. Es posible que tu EC2 instancia esté comprometida.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Una EC2 instancia establece conexiones a una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

Este hallazgo le informa de que una EC2 instancia de su AWS entorno se está comunicando con una dirección IP incluida en una lista de amenazas que ha subido. En GuardDuty, una lista de amenazas consta de direcciones IP malintencionadas. GuardDuty genera resultados en función de las listas de amenazas cargadas. La lista de amenazas utilizada para generar este resultado se mostrará en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/MetadataDNSRebind

Una EC2 instancia realiza búsquedas de DNS que se resuelven en el servicio de metadatos de la instancia.

Gravedad predeterminada: alta

Este hallazgo indica que una EC2 instancia de su AWS entorno está consultando un dominio que se resuelve en la dirección IP de los EC2 metadatos (169.254.169.254). Una consulta de DNS de este tipo puede indicar que la instancia es el objetivo de una técnica de reenlace de DNS. Esta técnica se puede utilizar para obtener metadatos de una EC2 instancia, incluidas las credenciales de IAM asociadas a la instancia.

La revinculación de DNS implica engañar a una aplicación que se esté ejecutando en la EC2 instancia para que cargue los datos devueltos desde una URL, donde el nombre de dominio de la URL pasa a ser la dirección IP de los EC2 metadatos (169.254.169.254). Esto hace que la aplicación acceda a los EC2 metadatos y, posiblemente, los ponga a disposición del atacante.

Solo es posible acceder a EC2 los metadatos mediante el reenlace de DNS si la EC2 instancia ejecuta una aplicación vulnerable que permite la URLs inyección o si alguien accede a la URL en un navegador web que se ejecuta en la EC2 instancia.

Recomendaciones de corrección:

En respuesta a este hallazgo, debes evaluar si hay una aplicación vulnerable ejecutándose en la EC2 instancia o si alguien ha utilizado un navegador para acceder al dominio identificado en el hallazgo. Si la causa raíz es una aplicación vulnerable, debe corregir la vulnerabilidad. Si un usuario ha navegado por el dominio identificado, debe bloquear el dominio o impedir que los usuarios puedan acceder a él. Si determinas que este hallazgo está relacionado con alguno de los casos anteriores, revoca la sesión asociada a la EC2 instancia.

Algunos AWS clientes asignan intencionadamente la dirección IP de los metadatos a un nombre de dominio de sus servidores DNS autorizados. Si este es el caso en su entorno de , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/MetaDataDNSRebind. El segundo criterio de filtro debe ser Dominio de la solicitud DNS y el valor debe coincidir con el dominio que ha mapeado a la dirección IP de metadatos (169.254.169.254). Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Un EC2 caso ha estado implicado en ataques de fuerza bruta del RDP.

Gravedad predeterminada: baja*

Este hallazgo le informa de que una EC2 instancia de su AWS entorno estuvo implicada en un ataque de fuerza bruta destinado a obtener contraseñas para los servicios RDP en sistemas basados en Windows. Esto puede significar un acceso no autorizado a los recursos de AWS .

Recomendaciones de corrección:

Si el Rol de recurso de su instancia es ACTOR, indica que su instancia se ha utilizado para llevar a cabo ataques de fuerza bruta a RDP. A no ser que esta instancia tenga un motivo legítimo para contactar con la dirección IP mostrada en la lista como Target, se recomienda que asuma que su instancia se ha visto afectada y lleve a cabo las acciones que aparecen en Corregir una instancia de Amazon EC2 potencialmente comprometida.

Si la función de recurso de su instancia esTARGET, este hallazgo puede solucionarse protegiendo su puerto RDP para que solo sea de confianza IPs mediante grupos de seguridad o firewalls. ACLs Para obtener más información, consulta Consejos para proteger tus EC2 instancias (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Una EC2 instancia ha estado implicada en ataques de fuerza bruta de SSH.

Gravedad predeterminada: baja*

Este hallazgo le informa de que una EC2 instancia de su AWS entorno estuvo implicada en un ataque de fuerza bruta destinado a obtener contraseñas para los servicios SSH en sistemas basados en Linux. Esto puede significar un acceso no autorizado a los recursos de AWS .

Recomendaciones de corrección:

Si el objetivo del intento de fuerza bruta es un host bastión, esto puede representar el comportamiento esperado de su entorno. AWS Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. Para más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

Si su entorno no prevé esta actividad y la función de recursos de la instancia sí lo esTARGET, puede solucionar este problema protegiendo su puerto SSH para que solo sea de confianza IPs mediante grupos de seguridad o firewalls. ACLs Para obtener más información, consulta Consejos para proteger tus EC2 instancias (Linux).

Si el Rol de recurso de su instancia es ACTOR, indica que la instancia se ha utilizado para llevar a cabo ataques de fuerza bruta a SSH. A no ser que esta instancia tenga un motivo legítimo para contactar con la dirección IP mostrada en la lista como Target, se recomienda que asuma que su instancia se ha visto afectada y lleve a cabo las acciones que aparecen en Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/TorClient

Tu EC2 instancia está haciendo conexiones a un nodo de Tor Guard o Authority.

Gravedad predeterminada: alta

Este hallazgo te informa de que una EC2 instancia de tu AWS entorno está haciendo conexiones a un nodo de Tor Guard o de Authority. Tor es un software que permite las comunicaciones anónimas. Los guardias Tor y los nodos Authority actúan como gateways a una red Tor. Este tráfico puede indicar que esta EC2 instancia se ha visto comprometida y actúa como cliente en una red Tor. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:EC2/TorRelay

Tu EC2 instancia está haciendo conexiones a una red Tor como un repetidor Tor.

Gravedad predeterminada: alta

Este hallazgo te indica que una EC2 instancia de tu AWS entorno está haciendo conexiones a una red Tor de una manera que sugiere que actúa como un repetidor Tor. Tor es un software que permite las comunicaciones anónimas. Tor incrementa el anonimato en la comunicación, ya que reenvía el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.