Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de resultados retirados

Un resultado es una notificación que contiene detalles sobre un problema potencial de seguridad detectado por GuardDuty. Para obtener más información acerca de cambios importantes en los tipos de resultado de GuardDuty, incluidos los retirados o añadidos recientemente, consulte Historial de documentos de Amazon GuardDuty.

Se han retirado los siguientes tipos de resultados y GuardDuty ya no los genera.

Exfiltration:S3/ObjectRead.Unusual

Una entidad de IAM ha invocado una API de S3 de forma sospechosa.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM en su entorno de AWS está haciendo llamadas a la API que implican un bucket de S3 y que esta actividad difiere de la referencia establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/PermissionsModification.Unusual

Una entidad de IAM ha invocado una API para modificar los permisos en uno o más recursos de S3.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM está haciendo llamadas a la API diseñadas para modificar los permisos en uno o más buckets u objetos de su entorno de AWS. Es posible que un atacante lleve a cabo esta acción para permitir que la información se comparta fuera de la cuenta. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/ObjectDelete.Unusual

Una entidad de IAM ha invocado una API que se utiliza para eliminar datos en un bucket de S3.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM específica de su entorno de AWS está haciendo llamadas a la API diseñadas para eliminar los datos del bucket de S3 de la lista mediante la eliminación del propio bucket. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/BucketEnumeration.Unusual

Una entidad de IAM ha invocado una API de S3 que se utiliza para detectar los buckets de S3 dentro de la red.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM ha invocado una API de S3 para detectar los buckets de S3 en su entorno, como, por ejemplo, ListBuckets. Este tipo de actividad está asociada a la fase de detección de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de un ataque más amplio. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Persistence:IAMUser/NetworkPermissions

Una entidad de IAM ha invocado una API que se suele utilizar para cambiar los permisos de acceso a la red de los grupos de seguridad, las rutas y las ACL de su cuenta de AWS.

Gravedad predeterminada: media*

Este resultado le indica que una entidad principal específica (Usuario raíz de la cuenta de AWS, rol de IAM o usuario) del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se desencadena cuando los ajustes de configuración de la red se modifican en circunstancias sospechosas, como cuando una entidad principal invoca la API de CreateSecurityGroup sin antecedentes de haberlo hecho. A menudo, los atacantes intentan cambiar los grupos de seguridad para permitir que cierta cantidad de tráfico entre en varios puertos a fin de mejorar su capacidad para obtener acceso a una instancia de EC2.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Persistence:IAMUser/ResourcePermissions

Una entidad principal ha invocado una API que suele utilizarse para cambiar las políticas de acceso de seguridad de varios recursos de su Cuenta de AWS.

Gravedad predeterminada: media*

Este resultado le indica que una entidad principal específica (Usuario raíz de la cuenta de AWS, rol de IAM o usuario) del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se activa cuando se detecta un cambio en las políticas o los permisos asociados a recursos de AWS; por ejemplo, cuando una entidad principal de su entorno de AWS invoca la API de PutBucketPolicy sin tener un historial previo de haberlo hecho. Algunos servicios, como Amazon S3, tienen permisos asociados a recursos que conceden a una o más entidades principales acceso a dicho recurso. Con las credenciales robadas, los atacantes pueden cambiar las políticas asociadas a un recurso para obtener acceso a dicho recurso.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Persistence:IAMUser/UserPermissions

Una entidad principal ha invocado una API que suele utilizarse para agregar, modificar o eliminar políticas, grupos o usuarios de IAM de una cuenta de AWS.

Gravedad predeterminada: media*

Este resultado le indica que una entidad principal específica (Usuario raíz de la cuenta de AWS, rol de IAM o usuario) del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se desencadena debido a cambios sospechosos en los permisos relacionados con los usuarios de su entorno de AWS: por ejemplo, cuando una entidad principal de su entorno de AWS invoca la API de AttachUserPolicy sin tener antecedentes de hacerlo. Los atacantes pueden utilizar credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta, incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría darse cuenta del robo de una contraseña o un usuario de IAM en concreto y eliminarlos de la cuenta. Sin embargo, es posible que no elimine otros usuarios que haya creado una entidad principal administradora creada de forma fraudulenta, lo que dejaría su cuenta de AWS accesible al atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Una entidad principal ha intentado asignarse una política excesivamente permisiva.

Gravedad predeterminada: baja*

Este resultado le informa de que una entidad de IAM específica del entorno de AWS está mostrando un comportamiento que puede indicar un ataque de derivación de privilegios. Este resultado se desencadena cuando un rol o un usuario de IAM intentan asignarse una política excesivamente permisiva. Si el usuario o el rol en cuestión no debe tener privilegios administrativos, puede que las credenciales del usuario estén en riesgo o que los permisos del rol no se hayan configurado correctamente.

Los atacantes utilizarán credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría percatarse de que le han robado una credencial de inicio de sesión de un usuario de IAM específico y eliminarla de la cuenta. Sin embargo, es posible que no elimine otros usuarios creados por la entidad principal de administración creada de forma fraudulente, lo que aún dejaría su cuenta de AWS accesible para el atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/NetworkPermissions

Una entidad principal ha invocado una API que suele usarse para cambiar los permisos de acceso de red de los grupos de seguridad, las rutas y las ACL de la cuentas de AWS.

Gravedad predeterminada: media*

Este resultado le indica que una entidad principal específica (Usuario raíz de la cuenta de AWS, rol de IAM o usuario) del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para llevar a cabo este tipo de reconocimiento de sus recursos de AWS y encontrar de esta manera más credenciales valiosas o determinar cuáles son las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/ResourcePermissions

Una entidad principal ha invocado una API que suele utilizarse para cambiar las políticas de acceso de seguridad de varios recursos de una cuenta de AWS.

Gravedad predeterminada: media*

Este resultado le indica que una entidad principal específica (Usuario raíz de la cuenta de AWS, rol de IAM o usuario) del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para llevar a cabo este tipo de reconocimiento de sus recursos de AWS y encontrar de esta manera más credenciales valiosas o determinar cuáles son las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/UserPermissions

Una entidad principal ha invocado una API que suele utilizarse para agregar, modificar o eliminar políticas, grupos o usuarios de IAM de una cuenta de AWS.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se sondean los permisos de usuario de su entorno de AWS en circunstancias sospechosas. Por ejemplo, si una entidad principal (Usuario raíz de la cuenta de AWS, rol de IAM o usuario de IAM) invoca la API ListInstanceProfilesForRole cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para llevar a cabo este tipo de reconocimiento de sus recursos de AWS y encontrar de esta manera más credenciales valiosas o determinar cuáles son las capacidades de las credenciales que ya tiene.

Este resultado le indica que una entidad principal específica del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida. Esta entidad principal no tiene historial previo de invocación de esta API de esta manera.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

ResourceConsumption:IAMUser/ComputeResources

Una entidad principal ha invocado una API que suele utilizarse para lanzar recursos de computación como instancias EC2.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se lanzan instancias de EC2, que aparecen en la cuenta mostrada en la lista, dentro de su entorno de AWS en circunstancias sospechosas. Este resultado le indica que una entidad principal específica del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida; por ejemplo, si una entidad principal (Usuario raíz de la cuenta de AWS, rol de IAM o usuario de IAM) invoca la API RunInstances sin tener antecedentes de haberlo hecho. Esto podría ser señal de que un atacante está utilizando credenciales robadas para robar tiempo de computación (posiblemente minería de criptomoneda o violación de contraseñas). También puede indicar que un atacante está utilizando una instancia de EC2 de su entorno de AWS y sus credenciales para mantener el acceso a su cuenta.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Stealth:IAMUser/LoggingConfigurationModified

Una entidad principal ha invocado una API que suele utilizarse para parar el registro en CloudTrail, borrar los registros existentes y eliminar de cualquier otra forma los rastros de la actividad de una cuenta de AWS.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se modifica la configuración de registro de la cuenta de AWS, que aparece en la lista, en circunstancias sospechosas. Este resultado le informa de que una entidad principal específica del entorno de AWS está mostrando un comportamiento diferente de la referencia establecida; por ejemplo, si una entidad principal (Usuario raíz de la cuenta de AWS, rol de IAM o usuario de IAM) invoca la API StopLogging sin tener antecedentes de haberlo hecho. Esto puede ser señal de que un atacante está intentando cubrir sus huellas eliminando cualquier rastro de su actividad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/ConsoleLogin

Se ha observado que una entidad principal de su cuenta de AWS ha iniciado sesión de forma inusual en la consola.

Gravedad predeterminada: media*

Este resultado se activa cuando se detecta un inicio de sesión en la consola en circunstancias sospechosas. Por ejemplo, si una entidad de seguridad ha invocado anteriormente la API ConsoleLogin desde una ubicación o un cliente específicos cuando nunca antes lo había hecho. Esto podría indicar que se están utilizando credenciales robadas para obtener acceso a su cuenta de AWS o que un usuario válido está obteniendo acceso a la cuenta de forma no válida o menos segura (por ejemplo, no accede mediante una VPN aprobada).

Este resultado le informa de que una entidad principal específica del entorno de AWS está mostrando un comportamiento diferente a la referencia establecida. Esta entidad de seguridad nunca antes había iniciado sesión con esta aplicación cliente desde esta ubicación específica.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:EC2/TorIPCaller

La instancia EC2 recibe conexiones entrantes de un nodo de salida Tor.

Gravedad predeterminada: media

Este resultado le informa de que una instancia de EC2 del entorno de AWS está recibiendo conexiones entrantes de un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este resultado puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/XORDDOS

Una instancia de EC2 está intentando comunicarse con una dirección IP asociada con malware XOR DDoS.

Gravedad predeterminada: alta

Este resultado le informa de que hay una instancia de EC2 en el entorno de AWS que intenta comunicarse con una dirección IP relacionada con malware XOR DDoS. Esta instancia EC2 podría estar comprometida. XOR DDoS es malware troyano que secuestra sistemas Linux. En un intento de obtener acceso al sistema, lanza un ataque de fuerza bruta para descubrir la contraseña de los servicios de Secure Shell (SSH) en Linux. Después de haber adquirido las credenciales de SSH y haber llevado a cabo correctamente el inicio de sesión, utiliza privilegios de usuario raíz para ejecutar un script que descarga e instala XOR DDoS. A continuación, este malware se utiliza como parte de un botnet para lanzar ataques de denegación de servicio distribuido (DDoS) contra otros destinos.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

Behavior:IAMUser/InstanceLaunchUnusual

Un usuario ha lanzado una instancia de EC2 de un tipo inusual.

Gravedad predeterminada: alta

Este resultado le informa de que un usuario específico del entorno de AWS está mostrando un comportamiento distinto de la referencia establecida. Este usuario no tiene historial previo de lanzamientos de una instancia de EC2 de este tipo. Sus credenciales de inicio de sesión podrían haberse visto afectadas.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

CryptoCurrency:EC2/BitcoinTool.A

La instancia EC2 se está comunicando con grupos de minería de Bitcoin.

Gravedad predeterminada: alta

Este resultado le informa de que una instancia de EC2 del entorno de AWS se está comunicando con grupos de extracción de Bitcoin. En el campo de la minería de criptomonedas, un grupo de minería es la agrupación de recursos por parte de mineros que comparten potencia de procesamiento a través de una red para dividir la compensación en función de la cantidad de trabajo con la que han contribuido para resolver un bloque. A menos que utilice esta instancia EC2 para la minería de Bitcoin, dicha instancia podría estar comprometida.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:IAMUser/UnusualASNCaller

Se ha invocado una API desde una dirección IP de una red inusual.

Gravedad predeterminada: alta

Este resultado le informa de que se ha invocado cierta actividad desde una dirección IP de una red inusual. Esta red no se ha observado nunca en todo el historial de uso de AWS del usuario descrito. Esta actividad puede incluir un inicio de sesión en la consola, un intento de lanzar una instancia de EC2, la creación de un nuevo usuario de IAM, la modificación de sus privilegios de AWS, etc. Esto puede significar un acceso no autorizado a los recursos de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.