GuardDuty Types de recherche liés à la surveillance du temps - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecutedExecution:Runtime/SuspiciousShellCreatedPrivilegeEscalation:Runtime/ElevationToRootDiscovery:Runtime/SuspiciousCommandPersistence:Runtime/SuspiciousCommandPrivilegeEscalation:Runtime/SuspiciousCommand

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Types de recherche liés à la surveillance du temps

Amazon GuardDuty génère les résultats de surveillance du temps d'exécution suivants pour identifier les menaces potentielles en fonction du comportement au niveau du système d'exploitation des EC2 hôtes et des conteneurs Amazon dans vos EKS clusters Amazon, les charges de travail ECS Fargate et Amazon et les instances Amazon. EC2

Note

Les types de résultat de la surveillance d'exécution sont basés sur les journaux d'exécution collectés auprès des hôtes. Les journaux contiennent des champs tels que les chemins d'accès aux fichiers qui peuvent être contrôlés par un acteur malveillant. Ces champs sont également inclus dans les GuardDuty résultats pour fournir un contexte d'exécution. Lorsque vous traitez les résultats de Runtime Monitoring en dehors de GuardDuty la console, vous devez nettoyer les champs de recherche. Par exemple, vous pouvez HTML encoder les champs de recherche lorsque vous les affichez sur une page Web.

Rubriques

CryptoCurrency:Runtime/BitcoinTool.B

Une EC2 instance ou un conteneur Amazon interroge une adresse IP associée à une activité liée aux cryptomonnaies.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou un conteneur dans votre AWS environnement interroge une adresse IP associée à une activité liée aux cryptomonnaies. Les acteurs malveillants peuvent chercher à prendre le contrôle des ressources de calcul afin de les réutiliser de manière malveillante à des fins d'exploitation non autorisée de cryptomonnaies.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si vous utilisez cette EC2 instance ou un conteneur pour extraire ou gérer des cryptomonnaies, ou si l'un ou l'autre de ces éléments est impliqué d'une autre manière dans l'activité de la blockchain, le CryptoCurrency:Runtime/BitcoinTool.B la recherche peut représenter l'activité attendue pour votre environnement. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère de filtre doit utiliser l'attribut Type de résultat avec la valeur CryptoCurrency:Runtime/BitcoinTool.B. Le deuxième critère de filtre doit être l'ID d'instance de l'instance ou l'ID d'image de conteneur du conteneur impliqué dans une activité liée à la cryptomonnaie ou à la blockchain. Pour de plus amples informations, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Backdoor:Runtime/C&CActivity.B

Une EC2 instance ou un conteneur Amazon interroge une adresse IP associée à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou un conteneur de votre AWS environnement interroge une adresse IP associée à un serveur de commande et de contrôle (C&C) connu. L'instance ou le conteneur répertorié est peut-être potentiellement compromis. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à Internet qui peuvent inclure des serveursPCs, des appareils mobiles et des appareils connectés à Internet des objets infectés et contrôlés par un type courant de maliciel. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. En fonction de l'objectif et de la structure du botnet, le serveur C&C peut également émettre des commandes pour lancer une attaque par déni de service distribué ()DDoS.

Note

Si l'adresse IP demandée est liée à log4j, les champs du résultat associé incluront les valeurs suivantes :

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

UnauthorizedAccess:Runtime/TorRelay

Votre EC2 instance Amazon ou un conteneur établit des connexions à un réseau Tor en tant que relais Tor.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Cette découverte vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement établit des connexions à un réseau Tor d'une manière qui suggère qu'il agit comme un relais Tor. Tor est un logiciel permettant d'activer les communications anonymes. Tor augmente l'anonymat de la communication en réacheminant le trafic potentiellement illicite du client d'un relais Tor à un autre.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

UnauthorizedAccess:Runtime/TorClient

Votre EC2 instance Amazon ou un conteneur établit des connexions avec un nœud Tor Guard ou Authority.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Cette découverte vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement établit des connexions avec un nœud Tor Guard ou Authority. Tor est un logiciel permettant d'activer les communications anonymes. Les nœuds Tor Guards et Authority agissent en tant que passerelles initiales dans un réseau Tor. Ce trafic peut indiquer que cette EC2 instance ou le conteneur a été potentiellement compromis et agit en tant que client sur un réseau Tor. Cette découverte peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/BlackholeTraffic

Une EC2 instance ou un conteneur Amazon tente de communiquer avec l'adresse IP d'un hôte distant connu sous la forme d'un trou noir.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une EC2 instance répertoriée ou un conteneur de votre AWS environnement est peut-être compromis parce qu'il tente de communiquer avec l'adresse IP d'un trou noir (ou puits). Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire. Une adresse IP de trou noir désigne une machine hôte qui n'est pas en cours d'exécution ou une adresse à laquelle aucun hôte n'a été attribué.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/DropPoint

Une EC2 instance ou un conteneur Amazon tente de communiquer avec l'adresse IP d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement tente de communiquer avec l'adresse IP d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine associé à une activité de cryptomonnaie.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou un conteneur de votre AWS environnement demande un nom de domaine associé au Bitcoin ou à une autre activité liée aux cryptomonnaies. Les acteurs malveillants peuvent chercher à prendre le contrôle des ressources de calcul afin de les réutiliser de manière malveillante à des fins d'exploitation non autorisée de cryptomonnaies.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si vous utilisez cette EC2 instance ou ce conteneur pour extraire ou gérer des cryptomonnaies, ou si l'un ou l'autre de ces éléments est impliqué d'une autre manière dans l'activité de la blockchain, CryptoCurrency:Runtime/BitcoinTool.B!DNS la recherche peut être une activité attendue pour votre environnement. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur CryptoCurrency:Runtime/BitcoinTool.B!DNS. Le deuxième critère de filtre doit être l'ID d'instance de l'instance ou l'ID d'image de conteneur du conteneur impliqué dans une activité de cryptomonnaie ou de blockchain. Pour de plus amples informations, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Backdoor:Runtime/C&CActivity.B!DNS

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine associé à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement interroge un nom de domaine associé à un serveur de commande et de contrôle (C&C) connu. L'EC2instance répertoriée ou le conteneur est peut-être compromis. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à InternetPCs, notamment des serveurs, des appareils mobiles et des appareils connectés à l'Internet des objets, infectés et contrôlés par un type courant de maliciel. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. En fonction de l'objectif et de la structure du botnet, le serveur C&C peut également émettre des commandes pour lancer une attaque par déni de service distribué ()DDoS.

Note

Si le nom de domaine demandé est lié à log4j, les champs du résultat associé incluront les valeurs suivantes :

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Note

Pour tester le mode GuardDuty de génération de ce type de recherche, vous pouvez effectuer une DNS demande depuis votre instance (digsous Linux ou nslookup Windows) par rapport à un domaine de testguarddutyc2activityb.com.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/BlackholeTraffic!DNS

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine qui est redirigé vers une adresse IP de trou noir.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement est peut-être compromis car il interroge un nom de domaine qui est redirigé vers une adresse IP de trou noir. Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/DropPoint!DNS

Une EC2 instance ou un conteneur Amazon interroge le nom de domaine d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement interroge le nom de domaine d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/DGADomainRequest.C!DNS

Une EC2 instance ou un conteneur Amazon interroge des domaines générés de manière algorithmique. Ces domaines sont couramment utilisés par les malwares et peuvent indiquer la compromission d'une EC2 instance ou d'un conteneur.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement essaie d'interroger les domaines de l'algorithme de génération de domaines (DGA). Votre ressource a peut-être été compromise.

DGAssont utilisés pour générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle (C&C). Les serveurs de commande et de contrôle sont des ordinateurs qui émettent des commandes aux membres d'un botnet, qui est un ensemble d'appareils connectés à Internet qui sont infectés et contrôlés par un type courant de programme malveillant. Le grand nombre de points de rendez-vous potentiels rend l'arrêt des botnets difficile, car les ordinateurs infectés tentent de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes.

Note

Ce résultat est basé sur des DGA domaines connus issus de flux de renseignements sur les GuardDuty menaces.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/DriveBySourceTraffic!DNS

Une EC2 instance ou un conteneur Amazon interroge le nom de domaine d'un hôte distant qui est une source connue d'attaques de téléchargement Drive-By.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement est peut-être compromis car il interroge le nom de domaine d'un hôte distant qui est une source connue d'attaques de téléchargement au volant. Il s'agit de téléchargements involontaires de logiciels d'Internet qui peuvent initier l'installation automatique de virus, logiciels espions ou programmes malveillants.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Trojan:Runtime/PhishingDomainRequest!DNS

Une EC2 instance ou un conteneur Amazon interroge des domaines impliqués dans des attaques de phishing.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement tente d'interroger un domaine impliqué dans des attaques de phishing. Les domaines de hameçonnage sont créés par des pirates se faisant passer pour une institution légitime afin de pousser des utilisateurs à fournir des données sensibles, telles que des informations personnelles identifiables, des coordonnées bancaires, des informations de carte bancaire ou des mots de passe. Votre EC2 instance ou le conteneur essaie peut-être de récupérer des données sensibles stockées sur un site Web de phishing, ou tente peut-être de configurer un site Web de phishing. Votre EC2 instance ou le conteneur est peut-être compromis.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Impact:Runtime/AbusedDomainRequest.Reputation

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine de mauvaise réputation associé à des domaines connus pour être utilisés abusivement.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP connus pour être utilisés de manière abusive. Les noms de domaine de premier niveau (TLDs) et les noms de domaine de deuxième niveau (2LDs) fournissant des enregistrements de sous-domaines gratuits ainsi que les fournisseurs dynamiques DNS sont des exemples de domaines utilisés abusivement. Les acteurs de la menace ont tendance à utiliser ces services pour enregistrer des domaines gratuitement ou à faible coût. Les domaines de mauvaise réputation de cette catégorie peuvent également être des domaines expirés renvoyés à l'adresse IP de stationnement d'un bureau d'enregistrement et peuvent donc ne plus être actifs. Une adresse IP de stationnement est l'endroit où un bureau d'enregistrement dirige le trafic vers des domaines qui n'ont été liés à aucun service. L'EC2instance Amazon répertoriée ou le conteneur peuvent être compromis car les acteurs malveillants utilisent généralement ces bureaux d'enregistrement ou ces services pour la distribution de logiciels malveillants et de contrôle.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Impact:Runtime/BitcoinDomainRequest.Reputation

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine de mauvaise réputation associé à une activité liée aux cryptomonnaies.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à Bitcoin ou à une autre activité liée aux cryptomonnaies. Les acteurs malveillants peuvent chercher à prendre le contrôle des ressources de calcul afin de les réutiliser de manière malveillante à des fins d'exploitation non autorisée de cryptomonnaies.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si vous utilisez cette EC2 instance ou le conteneur pour extraire ou gérer des cryptomonnaies, ou si ces ressources sont impliquées d'une autre manière dans l'activité de la blockchain, ce résultat peut représenter une activité attendue pour votre environnement. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère de filtre doit utiliser l'attribut Type de résultat avec la valeur Impact:Runtime/BitcoinDomainRequest.Reputation. Le deuxième critère de filtre doit être l'ID d'instance de l'instance ou l'ID d'image de conteneur du conteneur impliqué dans une activité liée à la cryptomonnaie ou à la blockchain. Pour de plus amples informations, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Impact:Runtime/MaliciousDomainRequest.Reputation

Une EC2 instance ou un conteneur Amazon interroge un domaine de mauvaise réputation associé à des domaines malveillants connus.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP malveillants connus. Par exemple, les domaines peuvent être associés à une adresse IP de gouffre connue. Les domaines de gouffre sont des domaines qui étaient auparavant contrôlés par un acteur menaçant, et les demandes qui leur sont adressées peuvent indiquer que l'instance est compromise. Ces domaines peuvent également être corrélés à des campagnes malveillantes ou à des algorithmes de génération de domaines connus.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Une EC2 instance ou un conteneur Amazon interroge un nom de domaine de mauvaise réputation qui est de nature suspecte en raison de son ancienneté ou de sa faible popularité.

Gravité par défaut : faible

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique que l'EC2instance répertoriée ou le conteneur de votre AWS environnement interroge un nom de domaine de mauvaise réputation soupçonné d'être malveillant. Nous avons remarqué des caractéristiques de ce domaine qui étaient cohérentes avec les domaines malveillants précédemment observés, mais notre modèle de réputation n'a pas pu le relier définitivement à une menace connue. Ces domaines sont généralement récemment observés ou reçoivent un faible trafic.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Une EC2 instance ou un conteneur Amazon effectue des DNS recherches qui concernent le service de métadonnées de l'instance.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Note

Actuellement, ce type de recherche n'est pris en charge que pour AMD64 l'architecture.

Ce résultat vous indique qu'une EC2 instance ou un conteneur de votre AWS environnement interroge un domaine qui correspond à l'adresse IP des EC2 métadonnées (169.254.169.254). Une DNS requête de ce type peut indiquer que l'instance est la cible d'une technique de DNS reliaison. Cette technique peut être utilisée pour obtenir des métadonnées d'une EC2 instance, y compris les IAM informations d'identification associées à l'instance.

DNSla reliaison consiste à inciter une application exécutée sur l'EC2instance à charger les données de retour depuis unURL, où le nom de domaine indiqué correspond à l'URLadresse IP EC2 des métadonnées ()169.254.169.254. Cela permet à l'application d'accéder aux EC2 métadonnées et de les mettre éventuellement à la disposition de l'attaquant.

Il est possible d'accéder aux EC2 métadonnées à l'aide de la DNS reliaison uniquement si l'EC2instance exécute une application vulnérable qui autorise l'injection deURLs, ou si quelqu'un y accède URL dans un navigateur Web exécuté sur l'EC2instance.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

En réponse à cette constatation, vous devez évaluer si une application vulnérable est exécutée sur l'EC2instance ou sur le conteneur, ou si quelqu'un a utilisé un navigateur pour accéder au domaine identifié dans la recherche. Si la cause première est une application vulnérable, corrigez la vulnérabilité. Si une personne a navigué dans le domaine identifié, bloquez le domaine ou empêchez les utilisateurs d'y accéder. Si vous déterminez que ce résultat est lié à l'un des cas ci-dessus, révoquez la session associée à l'EC2instance.

Certains AWS clients associent intentionnellement l'adresse IP des métadonnées à un nom de domaine sur leurs DNS serveurs officiels. Si c'est le cas dans votre environnement , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère de filtre doit utiliser l'attribut Type de résultat avec la valeur UnauthorizedAccess:Runtime/MetaDataDNSRebind. Le deuxième critère de filtre doit être le domaine de DNS demande ou l'ID d'image du conteneur. La valeur du domaine de DNS demande doit correspondre au domaine que vous avez mappé à l'adresse IP des métadonnées (169.254.169.254). Pour plus d'informations sur la création de règles de suppression, veuillez consulter Règles de suppression (langue française non garantie).

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/NewBinaryExecuted

Un fichier binaire récemment créé ou modifié dans un conteneur a été exécuté.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'un fichier binaire récemment créé ou récemment modifié dans un conteneur a été exécuté. Il est recommandé de conserver les conteneurs immuables au moment de l'exécution, et les fichiers binaires, les scripts ou les bibliothèques ne doivent pas être créés ou modifiés pendant la durée de vie du conteneur. Ce comportement indique qu'un acteur malveillant a accédé au conteneur, a téléchargé et exécuté un logiciel malveillant ou un autre logiciel dans le cadre de la compromission potentielle. Bien que ce type d'activité puisse être le signe d'un compromis, il s'agit également d'un modèle d'utilisation courant. Par conséquent, GuardDuty utilise des mécanismes pour identifier les instances suspectes de cette activité et génère ce type de recherche uniquement pour les instances suspectes.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console. Pour identifier le processus de modification et le nouveau binaire, consultez les détails du processus de modification et les détails du processus

Les détails du processus de modification sont inclus dans le service.runtimeDetails.context.modifyingProcess champ de la recherche JSON ou sous Processus de modification dans le panneau des détails de la recherche. Pour ce type de recherche, le processus de modification est /usr/bin/dpkg défini par le service.runtimeDetails.context.modifyingProcess.executablePath champ de la recherche JSON ou fait partie du processus de modification dans le panneau des détails de la recherche.

Les détails du binaire nouveau ou modifié exécuté sont inclus dans le résultat JSON ou dans service.runtimeDetails.process la section Processus sous Détails de l'exécution. Pour ce type de recherche, le binaire nouveau ou modifié est/usr/bin/python3.8, comme indiqué par le champ service.runtimeDetails.process.executablePath (Chemin exécutable).

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un processus à l'intérieur d'un conteneur communique avec le démon Docker à l'aide du socket Docker.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Le socket Docker est un socket de domaine Unix que le démon Docker (dockerd) utilise pour communiquer avec ses clients. Un client peut effectuer diverses actions, telles que la création de conteneurs en communiquant avec le démon Docker via le socket Docker. Il est suspect qu'un processus de conteneur accède au socket Docker. Un processus de conteneur peut échapper au conteneur et obtenir un accès au niveau de l'hôte en communiquant avec le socket Docket et en créant un conteneur privilégié.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/RuncContainerEscape

Une tentative d'évasion du conteneur via RunC a été détectée.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

RunC est le runtime de conteneur de bas niveau que les environnements d'exécution de conteneurs de haut niveau, tels que Docker et Containerd, utilisent pour générer et exécuter des conteneurs. RunC est toujours exécuté avec les privilèges root car il doit effectuer la tâche de bas niveau consistant à créer un conteneur. Un acteur malveillant peut obtenir un accès au niveau de l'hôte en modifiant ou en exploitant une vulnérabilité dans le binaire RunC.

Cette découverte détecte la modification du binaire RunC et les tentatives potentielles d'exploitation des vulnérabilités RunC suivantes :

  • CVE-2019-5736— Exploitation de CVE-2019-5736 implique le remplacement du binaire RunC depuis un conteneur. Ce résultat est invoqué lorsque le binaire RunC est modifié par un processus à l'intérieur d'un conteneur.

  • CVE-2024-21626— Exploitation de CVE-2024-21626 implique de définir le répertoire de travail actuel (CWD) ou un conteneur sur un descripteur /proc/self/fd/FileDescriptor de fichier ouvert. Ce résultat est invoqué lorsqu'un processus conteneur contenant un répertoire de travail actuel /proc/self/fd/ est détecté, par exemple/proc/self/fd/7.

Cette découverte peut indiquer qu'un acteur malveillant a tenté d'exploiter l'un des types de conteneurs suivants :

  • Un nouveau conteneur avec une image contrôlée par un pirate.

  • Un conteneur existant auquel l'acteur avait accès avec des autorisations d'écriture sur le binaire RunC au niveau de l'hôte.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Une tentative d'évasion du conteneur par le biais d'un agent CGroups de démoulage a été détectée.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous informe qu'une tentative de modification du fichier de l'agent de version d'un groupe de contrôle (cgroup) a été détectée. Linux utilise des groupes de contrôle (cgroups) pour limiter, prendre en compte et isoler l'utilisation des ressources d'un ensemble de processus. Chaque cgroup possède un fichier d'agent de version (release_agent), un script que Linux exécute lorsqu'un processus au sein du cgroup se termine. Le fichier de l'agent de version est toujours exécuté au niveau de l'hôte. Un acteur malveillant à l'intérieur d'un conteneur peut s'échapper vers l'hôte en écrivant des commandes arbitraires dans le fichier de l'agent de version qui appartient à un cgroup. Lorsqu'un processus à l'intérieur de ce cgroup se termine, les commandes écrites par l'acteur sont exécutées.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

DefenseEvasion:Runtime/ProcessInjection.Proc

Une injection de processus utilisant le système de fichiers proc a été détectée dans un conteneur ou une instance AmazonEC2.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

L'injection de processus est une technique utilisée par les acteurs malveillants pour injecter du code dans les processus afin d'échapper aux défenses et d'augmenter potentiellement les privilèges. Le système de fichiers proc (procfs) est un système de fichiers spécial sous Linux qui présente la mémoire virtuelle du processus sous forme de fichier. Le chemin de ce fichier est /proc/PID/mem, où PID est ID unique du processus. Un acteur malveillant peut écrire dans ce fichier pour injecter du code dans le processus. Ce résultat identifie les tentatives potentielles d'écriture dans ce fichier.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre type de ressource a peut-être été compromis. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Une injection de processus utilisant un appel système ptrace a été détectée dans un conteneur ou une EC2 instance Amazon.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

L'injection de processus est une technique utilisée par les acteurs malveillants pour injecter du code dans les processus afin d'échapper aux défenses et d'augmenter potentiellement les privilèges. Un processus peut utiliser l'appel système ptrace pour injecter du code dans un autre processus. Ce résultat identifie une tentative potentielle d'injection de code dans un processus à l'aide de l'appel système ptrace.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre type de ressource a peut-être été compromis. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Une injection de processus via une écriture directe dans la mémoire virtuelle a été détectée dans un conteneur ou une EC2 instance Amazon.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

L'injection de processus est une technique utilisée par les acteurs malveillants pour injecter du code dans les processus afin d'échapper aux défenses et d'augmenter potentiellement les privilèges. Un processus peut utiliser un appel système, comme process_vm_writev, pour injecter directement du code dans la mémoire virtuelle d'un autre processus. Ce résultat identifie une tentative potentielle d'injection de code dans un processus à l'aide d'un appel système pour écrire dans la mémoire virtuelle du processus.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre type de ressource a peut-être été compromis. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/ReverseShell

Un processus dans un conteneur ou une EC2 instance Amazon a créé un shell inversé.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Un shell inversé est une session shell créée sur une connexion initiée entre l'hôte cible et l'hôte de l'acteur. C'est le contraire d'un shell normal initié depuis l'hôte de l'acteur vers l'hôte de la cible. Les acteurs malveillants créent un shell inversé pour exécuter des commandes sur la cible après avoir obtenu un accès initial à celle-ci. Ce résultat identifie une tentative potentielle de création d'un shell inverse.

Recommandations de correction :

Si cette activité est inattendue, votre type de ressource a peut-être été compromis.

DefenseEvasion:Runtime/FilelessExecution

Un processus dans un conteneur ou une EC2 instance Amazon exécute du code à partir de la mémoire.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous informe lorsqu'un processus est exécuté à l'aide d'un fichier exécutable en mémoire sur le disque. Il s'agit d'une technique de contournement de la défense courante qui évite d'écrire le fichier exécutable malveillant sur le disque pour échapper à la détection basée sur l'analyse du système de fichiers. Bien que cette technique soit utilisée par des logiciels malveillants, elle présente également des cas d'utilisation légitimes. L'un des exemples est un compilateur just-in-time (JIT) qui écrit du code compilé en mémoire et l'exécute à partir de la mémoire.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Impact:Runtime/CryptoMinerExecuted

Un conteneur ou une EC2 instance Amazon exécute un fichier binaire associé à une activité d'extraction de cryptomonnaies.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'un conteneur ou une EC2 instance de votre AWS environnement exécute un fichier binaire associé à une activité d'extraction de cryptomonnaies. Les acteurs malveillants peuvent chercher à prendre le contrôle des ressources de calcul afin de les réutiliser de manière malveillante à des fins d'exploitation non autorisée de cryptomonnaies.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans le panneau des résultats de la GuardDuty console.

Recommandations de correction :

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console et consultezCorriger les résultats de la surveillance de l'exécution.

Execution:Runtime/NewLibraryLoaded

Une bibliothèque récemment créée ou modifiée a été chargée par un processus à l'intérieur d'un conteneur.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat indique qu'une bibliothèque a été créée ou modifiée dans un conteneur pendant l'exécution et chargée par un processus exécuté dans le conteneur. Il est recommandé de conserver les conteneurs immuables au moment de l'exécution, et à ne pas créer ou modifier les fichiers binaires, les scripts ou les bibliothèques pendant la durée de vie du conteneur. Le chargement d'une bibliothèque récemment créée ou modifiée dans un conteneur peut indiquer une activité suspecte. Ce comportement indique qu'un acteur malveillant a potentiellement accédé au conteneur, a téléchargé et exécuté un logiciel malveillant ou un autre logiciel dans le cadre de la compromission potentielle. Bien que ce type d'activité puisse être le signe d'un compromis, il s'agit également d'un modèle d'utilisation courant. Par conséquent, GuardDuty utilise des mécanismes pour identifier les instances suspectes de cette activité et génère ce type de recherche uniquement pour les instances suspectes.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un processus à l'intérieur d'un conteneur a monté un système de fichiers hôte au moment de l'exécution.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Plusieurs techniques de fuite de conteneur impliquent le montage d'un système de fichiers hôte dans un conteneur lors de l'exécution. Ce résultat indique qu'un processus à l'intérieur d'un conteneur a potentiellement tenté de monter un système de fichiers hôte, ce qui peut indiquer une tentative de fuite vers l'hôte.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un processus utilisait des appels système userfaultfd pour traiter les défauts de page dans l'espace utilisateur.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Généralement, les erreurs de page sont gérées par le noyau dans l'espace du noyau. Cependant, l'appel système userfaultfd permet à un processus de gérer les erreurs de page sur un système de fichiers dans l'espace utilisateur. Il s'agit d'une fonctionnalité utile qui permet d'implémenter des systèmes de fichiers de l'espace utilisateur. D'autre part, il peut également être utilisé par un processus potentiellement malveillant pour interrompre le noyau depuis l'espace utilisateur. L'interruption du noyau à l'aide d'un appel système userfaultfd est une technique d'exploitation courante pour étendre les fenêtres de course pendant l'exploitation des conditions de course du noyau. L'utilisation de userfaultfd peut indiquer une activité suspecte sur l'instance Amazon Elastic Compute Cloud (AmazonEC2).

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/SuspiciousTool

Un conteneur ou une EC2 instance Amazon exécute un fichier binaire ou un script fréquemment utilisé dans des scénarios de sécurité offensifs tels que le pentesting d'engagement.

Gravité par défaut : variable

La gravité de cette constatation peut être élevée ou faible, selon que l'outil suspect détecté est considéré comme étant à double usage ou s'il est exclusivement destiné à un usage offensif.

  • Fonctionnalité : surveillance d'exécution

Cette découverte vous indique qu'un outil suspect a été exécuté sur une EC2 instance ou un conteneur au sein de votre AWS environnement. Cela inclut les outils utilisés dans les missions de pentesting, également appelés outils de porte dérobée, scanners réseau et renifleurs de réseau. Tous ces outils peuvent être utilisés dans des contextes bénins, mais ils sont également fréquemment utilisés par des acteurs malveillants à des fins malveillantes. L'observation d'outils de sécurité offensifs peut indiquer que l'EC2instance ou le conteneur associé a été compromis.

GuardDuty examine l'activité et le contexte d'exécution associés afin de générer ce résultat uniquement lorsque l'activité et le contexte associés sont potentiellement suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/SuspiciousCommand

Une commande suspecte a été exécutée sur une EC2 instance Amazon ou un conteneur, ce qui indique une compromission.

Gravité par défaut : variable

Selon l'impact du schéma malveillant observé, la gravité de ce type de découverte peut être faible, moyenne ou élevée.

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une commande suspecte a été exécutée et qu'une EC2 instance Amazon ou un conteneur de votre AWS environnement a été compromis. Cela peut signifier qu'un fichier a été téléchargé depuis une source suspecte puis exécuté, ou qu'un processus en cours d'exécution affiche un schéma malveillant connu dans sa ligne de commande. Cela indique en outre qu'un logiciel malveillant est en cours d'exécution sur le système.

GuardDuty examine l'activité et le contexte d'exécution associés afin de générer ce résultat uniquement lorsque l'activité et le contexte associés sont potentiellement suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

DefenseEvasion:Runtime/SuspiciousCommand

Une commande a été exécutée sur l'EC2instance Amazon répertoriée ou sur un conteneur. Elle tente de modifier ou de désactiver un mécanisme de défense Linux, tel qu'un pare-feu ou des services système essentiels.

Gravité par défaut : variable

Selon le mécanisme de défense qui a été modifié ou désactivé, la gravité de ce type de découverte peut être élevée, moyenne ou faible.

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une commande visant à masquer une attaque aux services de sécurité du système local a été exécutée. Cela inclut des actions telles que la désactivation du pare-feu Unix, la modification des tables IP locales, la suppression crontab entrées, désactivation d'un service local ou prise en charge de la LDPreload fonction. Toute modification est hautement suspecte et constitue un indicateur potentiel de compromission. Par conséquent, ces mécanismes détectent ou empêchent toute nouvelle compromission du système.

GuardDuty examine l'activité et le contexte d'exécution associés afin de générer ce résultat uniquement lorsque l'activité et le contexte associés sont potentiellement suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un processus dans un conteneur ou une EC2 instance Amazon a exécuté une mesure anti-débogage à l'aide de l'appel système ptrace.

Gravité par défaut : faible

  • Fonctionnalité : surveillance d'exécution

Ce résultat indique qu'un processus exécuté sur une EC2 instance Amazon ou un conteneur au sein de votre AWS environnement a utilisé l'appel système ptrace avec l'PTRACE_TRACEMEoption. Cette activité provoquerait le détachement d'un débogueur attaché du processus en cours d'exécution. Si aucun débogueur n'est attaché, cela n'a aucun effet. Cependant, l'activité en elle-même suscite des soupçons. Cela peut indiquer qu'un logiciel malveillant est en cours d'exécution sur le système. Les malwares utilisent fréquemment des techniques anti-débogage pour échapper à l'analyse, et ces techniques peuvent être détectées au moment de l'exécution.

GuardDuty examine l'activité et le contexte d'exécution associés afin de générer ce résultat uniquement lorsque l'activité et le contexte associés sont potentiellement suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/MaliciousFileExecuted

Un fichier exécutable malveillant connu a été exécuté sur une EC2 instance Amazon ou un conteneur.

Gravité par défaut : élevée

  • Fonctionnalité : surveillance d'exécution

Cette découverte vous indique qu'un exécutable malveillant connu a été exécuté sur une EC2 instance Amazon ou un conteneur au sein de votre AWS environnement. Cela indique clairement que l'instance ou le conteneur a été potentiellement compromis et qu'un logiciel malveillant a été exécuté.

Les malwares utilisent fréquemment des techniques anti-débogage pour échapper à l'analyse, et ces techniques peuvent être détectées au moment de l'exécution.

GuardDuty examine l'activité et le contexte d'exécution associés afin de générer ce résultat uniquement lorsque l'activité et le contexte associés sont potentiellement suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Execution:Runtime/SuspiciousShellCreated

Un service réseau ou un processus accessible par le réseau sur une EC2 instance Amazon ou dans un conteneur a lancé un processus shell interactif.

Gravité par défaut : faible

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'un service accessible par le réseau sur une EC2 instance Amazon ou dans un conteneur de votre AWS environnement a lancé un shell interactif. Dans certaines circonstances, ce scénario peut indiquer un comportement post-exploitation. Les shells interactifs permettent aux attaquants d'exécuter des commandes arbitraires sur une instance ou un conteneur compromis.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console. Vous pouvez consulter les informations du processus accessibles par le réseau dans les détails du processus parent.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/ElevationToRoot

Un processus exécuté sur l'EC2instance ou le conteneur Amazon répertorié a assumé les privilèges root.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'un processus exécuté sur le site Amazon répertorié EC2 ou dans le conteneur répertorié au sein de votre AWS environnement a acquis les privilèges root à la suite d'une exécution setuid binaire inhabituelle ou suspecte. Cela indique qu'un processus en cours d'exécution a été potentiellement compromis, EC2 par exemple par un exploit ou par une setuid exploitation. En utilisant les privilèges root, l'attaquant peut potentiellement exécuter des commandes sur l'instance ou le conteneur.

Bien qu' GuardDuty il soit conçu pour ne pas générer ce type de constatation pour les activités impliquant une utilisation régulière de la sudo commande, il génère ce résultat lorsqu'il identifie l'activité comme inhabituelle ou suspecte.

GuardDuty examine l'activité d'exécution et le contexte associés, et génère ce type de recherche uniquement lorsque l'activité et le contexte associés sont inhabituels ou suspects.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Discovery:Runtime/SuspiciousCommand

Une commande suspecte a été exécutée sur une EC2 instance Amazon ou dans un conteneur, ce qui permet à un attaquant d'obtenir des informations sur le système local, l' AWS infrastructure environnante ou l'infrastructure de conteneurs.

Gravité par défaut : faible

Fonctionnalité : surveillance d'exécution

Cette découverte vous indique que l'EC2instance ou le conteneur Amazon répertorié dans votre AWS environnement a exécuté une commande susceptible de fournir à un attaquant des informations cruciales susceptibles de faire avancer l'attaque. Les informations suivantes ont peut-être été récupérées :

  • Système local tel que la configuration utilisateur ou réseau,

  • Autres AWS ressources et autorisations disponibles, ou

  • Infrastructure Kubernetes telle que les services et les pods.

L'EC2instance Amazon ou le conteneur répertorié dans les détails de la recherche ont peut-être été compromis.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans les détails des résultats de la GuardDuty console. Vous trouverez les détails de la commande suspecte dans le service.runtimeDetails.context champ de rechercheJSON.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

Persistence:Runtime/SuspiciousCommand

Une commande suspecte a été exécutée sur une EC2 instance Amazon ou dans un conteneur, ce qui permet à un attaquant de conserver l'accès et le contrôle dans votre AWS environnement.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une commande suspecte a été exécutée sur une EC2 instance Amazon ou dans un conteneur au sein de votre AWS environnement. La commande installe une méthode de persistance qui permet à un logiciel malveillant de s'exécuter sans interruption ou à un attaquant d'accéder en permanence à l'instance ou au type de ressource de conteneur potentiellement compromis. Cela peut signifier qu'un service système a été installé ou modifié, qu'il crontab a été modifié ou qu'un nouvel utilisateur a été ajouté à la configuration du système.

GuardDuty examine l'activité d'exécution et le contexte associés, et génère ce type de recherche uniquement lorsque l'activité et le contexte associés sont inhabituels ou suspects.

L'EC2instance Amazon ou le conteneur répertorié dans les détails de la recherche ont peut-être été compromis.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans les détails des résultats de la GuardDuty console. Vous trouverez les détails de la commande suspecte dans le service.runtimeDetails.context champ de rechercheJSON.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.

PrivilegeEscalation:Runtime/SuspiciousCommand

Une commande suspecte a été exécutée sur une EC2 instance Amazon ou dans un conteneur, ce qui permet à un attaquant d'augmenter ses privilèges.

Gravité par défaut : moyenne

  • Fonctionnalité : surveillance d'exécution

Ce résultat vous indique qu'une commande suspecte a été exécutée sur une EC2 instance Amazon ou dans un conteneur au sein de votre AWS environnement. La commande tente d'augmenter les privilèges, ce qui permet à un adversaire d'exécuter des tâches à privilèges élevés.

GuardDuty examine l'activité d'exécution et le contexte associés, et génère ce type de recherche uniquement lorsque l'activité et le contexte associés sont inhabituels ou suspects.

L'EC2instance Amazon ou le conteneur répertorié dans les détails de la recherche ont peut-être été compromis.

L'agent GuardDuty d'exécution surveille les événements provenant de plusieurs ressources. Pour identifier la ressource affectée, consultez le type de ressource dans les détails des résultats de la GuardDuty console.

Recommandations de correction :

Si cette activité est inattendue, votre ressource a peut-être été compromise. Pour de plus amples informations, veuillez consulter Corriger les résultats de la surveillance de l'exécution.