Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty Jenis penemuan Runtime Monitoring
Amazon GuardDuty menghasilkan temuan Runtime Monitoring berikut untuk menunjukkan potensi ancaman berdasarkan perilaku tingkat sistem operasi dari EC2 host dan container Amazon di EKS klaster Amazon, beban kerja Fargate dan Amazon, serta instans ECS Amazon Anda. EC2
catatan
Jenis pencarian Runtime Monitoring didasarkan pada log runtime yang dikumpulkan dari host. Log berisi bidang seperti jalur file yang dapat dikontrol oleh aktor jahat. Bidang ini juga termasuk dalam GuardDuty temuan untuk memberikan konteks runtime. Saat memproses temuan Runtime Monitoring di luar GuardDuty konsol, Anda harus membersihkan bidang pencarian. Misalnya, Anda dapat HTML menyandikan bidang pencarian saat menampilkannya di halaman web.
Topik
- CryptoCurrency:Runtime/BitcoinTool.B
- Backdoor:Runtime/C&CActivity.B
- UnauthorizedAccess:Runtime/TorRelay
- UnauthorizedAccess:Runtime/TorClient
- Trojan:Runtime/BlackholeTraffic
- Trojan:Runtime/DropPoint
- CryptoCurrency:Runtime/BitcoinTool.B!DNS
- Backdoor:Runtime/C&CActivity.B!DNS
- Trojan:Runtime/BlackholeTraffic!DNS
- Trojan:Runtime/DropPoint!DNS
- Trojan:Runtime/DGADomainRequest.C!DNS
- Trojan:Runtime/DriveBySourceTraffic!DNS
- Trojan:Runtime/PhishingDomainRequest!DNS
- Impact:Runtime/AbusedDomainRequest.Reputation
- Impact:Runtime/BitcoinDomainRequest.Reputation
- Impact:Runtime/MaliciousDomainRequest.Reputation
- Impact:Runtime/SuspiciousDomainRequest.Reputation
- UnauthorizedAccess:Runtime/MetadataDNSRebind
- Execution:Runtime/NewBinaryExecuted
- PrivilegeEscalation:Runtime/DockerSocketAccessed
- PrivilegeEscalation:Runtime/RuncContainerEscape
- PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
- DefenseEvasion:Runtime/ProcessInjection.Proc
- DefenseEvasion:Runtime/ProcessInjection.Ptrace
- DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
- Execution:Runtime/ReverseShell
- DefenseEvasion:Runtime/FilelessExecution
- Impact:Runtime/CryptoMinerExecuted
- Execution:Runtime/NewLibraryLoaded
- PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
- PrivilegeEscalation:Runtime/UserfaultfdUsage
- Execution:Runtime/SuspiciousTool
- Execution:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/SuspiciousCommand
- DefenseEvasion:Runtime/PtraceAntiDebugging
- Execution:Runtime/MaliciousFileExecuted
- Execution:Runtime/SuspiciousShellCreated
- PrivilegeEscalation:Runtime/ElevationToRoot
- Discovery:Runtime/SuspiciousCommand
- Persistence:Runtime/SuspiciousCommand
- PrivilegeEscalation:Runtime/SuspiciousCommand
CryptoCurrency:Runtime/BitcoinTool.B
EC2Instance Amazon atau container menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan Alamat IP yang terkait dengan aktivitas terkait cryptocurrency. Aktor ancaman mungkin berusaha untuk mengambil kendali atas sumber daya komputasi untuk menggunakannya kembali secara jahat untuk penambangan cryptocurrency yang tidak sah.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance ini atau wadah untuk menambang atau mengelola cryptocurrency, atau salah satu dari ini terlibat dalam aktivitas blockchain, CryptoCurrency:Runtime/BitcoinTool.B temuan dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Finding type dengan nilai. CryptoCurrency:Runtime/BitcoinTool.B
Kriteria filter kedua harus berupa ID Instance dari instance atau Container Image ID dari container yang terlibat dalam cryptocurrency atau aktivitas terkait blockchain. Untuk informasi selengkapnya, lihat Aturan penindasan.
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Backdoor:Runtime/C&CActivity.B
EC2Instance Amazon atau container menanyakan IP yang terkait dengan server perintah dan kontrol yang dikenal.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda sedang menanyakan IP yang terkait dengan server perintah dan kontrol (C&C) yang diketahui. Instance atau wadah yang terdaftar mungkin berpotensi dikompromikan. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.
Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasukPCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan () terdistribusi. DDoS
catatan
Jika IP yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
UnauthorizedAccess:Runtime/TorRelay
EC2Instance Amazon Anda atau wadah membuat koneksi ke jaringan Tor sebagai relay Tor.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance atau wadah di AWS lingkungan Anda membuat koneksi ke jaringan Tor dengan cara yang menunjukkan bahwa itu bertindak sebagai relay Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Tor meningkatkan anonimitas komunikasi dengan meneruskan lalu lintas klien yang kemungkinan terlarang dari satu relay Tor ke relay lainnya.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
UnauthorizedAccess:Runtime/TorClient
EC2Instance Amazon atau container Anda membuat koneksi ke Tor Guard atau node Authority.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance atau wadah di AWS lingkungan Anda membuat koneksi ke Tor Guard atau node Authority. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Node Tor Guards dan Authority bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat menunjukkan bahwa EC2 instance atau wadah ini berpotensi dikompromikan dan bertindak sebagai klien di jaringan Tor. Temuan ini mungkin menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/BlackholeTraffic
EC2Instance Amazon atau wadah mencoba berkomunikasi dengan alamat IP host jarak jauh yang merupakan lubang hitam yang dikenal.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda EC2 contoh yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju. Alamat IP lubang hitam menentukan mesin host yang tidak berjalan atau alamat yang tidak ada host yang ditugaskan.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/DropPoint
EC2Instans Amazon atau kontainer mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance atau wadah di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui menyimpan kredensyal dan data curian lainnya yang ditangkap oleh malware.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
CryptoCurrency:Runtime/BitcoinTool.B!DNS
EC2Instance Amazon atau container menanyakan nama domain yang terkait dengan aktivitas cryptocurrency.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Aktor ancaman mungkin berusaha untuk mengambil kendali atas sumber daya komputasi untuk menggunakannya kembali secara jahat untuk penambangan cryptocurrency yang tidak sah.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance atau wadah ini untuk menambang atau mengelola cryptocurrency, atau salah satu dari ini terlibat dalam aktivitas blockchain, CryptoCurrency:Runtime/BitcoinTool.B!DNS temuan bisa menjadi kegiatan yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:Runtime/BitcoinTool.B!DNS
. Kriteria filter kedua harus berupa ID Instance dari instance atau Container Image ID dari container yang terlibat dalam aktivitas cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan Penindasan.
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Backdoor:Runtime/C&CActivity.B!DNS
EC2Instance Amazon atau container menanyakan nama domain yang dikaitkan dengan server perintah dan kontrol yang dikenal.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. EC2Instance yang terdaftar atau wadah mungkin dikompromikan. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.
Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasukPCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan () terdistribusi. DDoS
catatan
Jika nama domain yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:
-
service.additionalInfo.threatListName = Amazon
-
service.additionalInfo.threatName = Log4j Related
catatan
Untuk menguji bagaimana GuardDuty menghasilkan jenis temuan ini, Anda dapat membuat DNS permintaan dari instance Anda (menggunakan dig
untuk Linux atau nslookup
untuk Windows) terhadap domain pengujianguarddutyc2activityb.com
.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/BlackholeTraffic!DNS
EC2Instance Amazon atau wadah menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mungkin dikompromikan karena menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam. Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/DropPoint!DNS
EC2Instance Amazon atau kontainer menanyakan nama domain dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance atau wadah di AWS lingkungan Anda menanyakan nama domain host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/DGADomainRequest.C!DNS
EC2Instance Amazon atau container menanyakan domain yang dihasilkan secara algoritmik. Domain semacam itu biasanya digunakan oleh malware dan bisa menjadi indikasi EC2 instance yang dikompromikan atau wadah.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda sedang mencoba menanyakan domain algorithm (DGA) pembuatan domain. Sumber daya Anda mungkin telah dikompromikan.
DGAsdigunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.
catatan
Temuan ini didasarkan pada DGA domain yang diketahui dari umpan intelijen GuardDuty ancaman.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/DriveBySourceTraffic!DNS
EC2Instance Amazon atau container menanyakan nama domain host jarak jauh yang merupakan sumber serangan unduhan Drive-By yang diketahui.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain dari host jarak jauh yang merupakan sumber serangan unduhan drive-by yang diketahui. Ini adalah unduhan perangkat lunak komputer yang tidak diinginkan dari internet yang dapat memulai instalasi otomatis virus, spyware, atau malware.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Trojan:Runtime/PhishingDomainRequest!DNS
EC2Instance Amazon atau container menanyakan domain yang terlibat dalam serangan phishing.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa ada EC2 instance atau wadah di AWS lingkungan Anda yang mencoba menanyakan domain yang terlibat dalam serangan phishing. Domain phishing dibuat oleh seseorang yang menyamar sebagai institusi yang sah untuk membujuk individu agar memberikan data sensitif, seperti informasi pengenal pribadi, detail kartu kredit dan perbankan, serta kata sandi. EC2Instance atau wadah Anda mungkin mencoba mengambil data sensitif yang disimpan di situs web phishing, atau mungkin mencoba menyiapkan situs web phishing. EC2Instance Anda atau wadah mungkin dikompromikan.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Impact:Runtime/AbusedDomainRequest.Reputation
EC2Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang dikaitkan dengan domain yang disalahgunakan yang diketahui.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain atau alamat IP yang disalahgunakan yang diketahui. Contoh domain yang disalahgunakan adalah nama domain tingkat atas (TLDs) dan nama domain tingkat kedua (2LDs) yang menyediakan pendaftaran subdomain gratis serta penyedia dinamis. DNS Aktor ancaman cenderung menggunakan layanan ini untuk mendaftarkan domain secara gratis atau dengan biaya rendah. Domain bereputasi rendah dalam kategori ini mungkin juga merupakan domain kedaluwarsa yang mencari alamat IP parkir registrar dan oleh karena itu mungkin tidak lagi aktif. IP parkir adalah tempat registrar mengarahkan lalu lintas untuk domain yang belum ditautkan ke layanan apa pun. EC2Instans Amazon yang terdaftar atau wadah dapat dikompromikan karena pelaku ancaman biasanya menggunakan registrar atau layanan ini untuk distribusi C&C dan malware.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Impact:Runtime/BitcoinDomainRequest.Reputation
EC2Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang terkait dengan aktivitas terkait cryptocurrency.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Aktor ancaman mungkin berusaha untuk mengambil kendali atas sumber daya komputasi untuk menggunakannya kembali secara jahat untuk penambangan cryptocurrency yang tidak sah.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance ini atau wadah untuk menambang atau mengelola cryptocurrency, atau jika sumber daya ini terlibat dalam aktivitas blockchain, temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Finding type dengan nilai. Impact:Runtime/BitcoinDomainRequest.Reputation
Kriteria filter kedua harus berupa ID Instance dari instance atau ID Gambar Kontainer dari container terlibat dalam aktivitas terkait cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan penindasan.
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Impact:Runtime/MaliciousDomainRequest.Reputation
EC2Instance Amazon atau container menanyakan domain dengan reputasi rendah yang dikaitkan dengan domain berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain berbahaya atau alamat IP yang diketahui. Misalnya, domain dapat dikaitkan dengan alamat IP sinkhole yang dikenal. Domain sinkhole adalah domain yang sebelumnya dikendalikan oleh aktor ancaman, dan permintaan yang dibuat untuk domain tersebut dapat menunjukkan bahwa instans disusupi. Domain ini juga dapat dikorelasikan dengan kampanye berbahaya atau algoritme pembuatan domain yang dikenal.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Impact:Runtime/SuspiciousDomainRequest.Reputation
EC2Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang mencurigakan karena usianya, atau popularitasnya yang rendah.
Tingkat keparahan default: Rendah
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang diduga jahat. memperhatikan karakteristik domain ini yang konsisten dengan domain berbahaya yang diamati sebelumnya, namun, model reputasi kami tidak dapat secara definitif menghubungkannya dengan ancaman yang diketahui. Domain ini biasanya baru diamati atau menerima jumlah lalu lintas yang rendah.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
UnauthorizedAccess:Runtime/MetadataDNSRebind
EC2Instance Amazon atau container sedang melakukan DNS pencarian yang menyelesaikan layanan metadata instance.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
catatan
Saat ini, jenis temuan ini hanya didukung untuk AMD64 arsitektur.
Temuan ini memberi tahu Anda bahwa EC2 instance atau wadah di AWS lingkungan Anda menanyakan domain yang menyelesaikan alamat IP EC2 metadata (169.254.169.254). DNSKueri semacam ini dapat menunjukkan bahwa instance adalah target dari teknik DNS pengikatan ulang. Teknik ini dapat digunakan untuk mendapatkan metadata dari sebuah EC2 instance, termasuk IAM kredensyal yang terkait dengan instance.
DNSrebinding melibatkan menipu aplikasi yang berjalan pada EC2 instance untuk memuat data yang dikembalikan dari aURL, di mana nama domain dalam URL menyelesaikan ke alamat IP EC2 metadata (). 169.254.169.254
Ini menyebabkan aplikasi mengakses EC2 metadata dan mungkin membuatnya tersedia untuk penyerang.
Dimungkinkan untuk mengakses EC2 metadata menggunakan DNS rebinding hanya jika EC2 instance menjalankan aplikasi rentan yang memungkinkan injeksiURLs, atau jika seseorang mengakses URL di browser web yang berjalan pada instance. EC2
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Menanggapi temuan ini, Anda harus mengevaluasi apakah ada aplikasi rentan yang berjalan pada EC2 instance atau pada wadah, atau jika seseorang menggunakan browser untuk mengakses domain yang diidentifikasi dalam temuan. Jika akar penyebabnya adalah aplikasi yang rentan, perbaiki kerentanan. Jika seseorang menelusuri domain yang diidentifikasi, blokir domain atau cegah pengguna mengaksesnya. Jika Anda menentukan temuan ini terkait dengan kedua kasus di atas, Cabut sesi yang terkait dengan instance. EC2
Beberapa AWS pelanggan sengaja memetakan alamat IP metadata ke nama domain di server otoritatif mereka. DNS Jika hal ini dilakukan di lingkungan Anda, kami menyarankan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Finding type dengan nilai. UnauthorizedAccess:Runtime/MetaDataDNSRebind
Kriteria filter kedua harus domain DNS permintaan atau ID Gambar Kontainer wadah. Nilai domain DNS permintaan harus sesuai dengan domain yang telah Anda petakan ke alamat IP metadata (). 169.254.169.254
Untuk informasi tentang membuat aturan penindasan, lihat Aturan penindasan.
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/NewBinaryExecuted
File biner yang baru dibuat atau baru dimodifikasi dalam wadah telah dieksekusi.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa file biner yang baru dibuat atau yang baru saja dimodifikasi, dalam wadah telah dieksekusi. Ini adalah praktik terbaik untuk menjaga kontainer tetap tidak berubah saat runtime, dan file biner, skrip, atau pustaka tidak boleh dibuat atau dimodifikasi selama masa pakai penampung. Perilaku ini menunjukkan bahwa aktor jahat yang telah memperoleh akses ke wadah, telah mengunduh, dan mengeksekusi malware atau perangkat lunak lain sebagai bagian dari potensi kompromi. Meskipun jenis aktivitas ini bisa menjadi indikasi kompromi, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Untuk mengidentifikasi proses modifikasi dan biner baru, lihat detail proses Modifikasi dan detail Proses
Rincian proses modifikasi termasuk dalam service.runtimeDetails.context.modifyingProcess
bidang temuanJSON, atau di bawah Proses Memodifikasi di panel rincian temuan. Untuk jenis temuan ini, proses modifikasi adalah/usr/bin/dpkg
, seperti yang diidentifikasi oleh service.runtimeDetails.context.modifyingProcess.executablePath
bidang temuanJSON, atau sebagai bagian dari Proses Memodifikasi di panel rincian temuan.
Rincian biner baru atau modifikasi yang dieksekusi disertakan dalam temuanJSON, atau bagian Proses di bawah rincian Runtime. service.runtimeDetails.process
Untuk jenis temuan ini, biner baru atau yang dimodifikasi adalah/usr/bin/python3.8
, seperti yang ditunjukkan oleh bidang service.runtimeDetails.process.executablePath
(Jalur yang dapat dieksekusi).
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/DockerSocketAccessed
Sebuah proses di dalam wadah berkomunikasi dengan daemon Docker menggunakan soket Docker.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Soket Docker adalah Unix Domain Socket yang digunakan Docker daemon (dockerd
) untuk berkomunikasi dengan kliennya. Klien dapat melakukan berbagai tindakan, seperti membuat kontainer dengan berkomunikasi dengan daemon Docker melalui soket Docker. Sangat mencurigakan jika proses penampung mengakses soket Docker. Proses kontainer dapat keluar dari wadah dan mendapatkan akses tingkat host dengan berkomunikasi dengan soket Docket dan membuat wadah istimewa.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/RuncContainerEscape
Upaya pelarian kontainer melalui runC terdeteksi.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
runC adalah runtime kontainer tingkat rendah yang digunakan runtime kontainer tingkat tinggi, seperti Docker dan Containerd untuk menelurkan dan menjalankan container. RunC selalu dijalankan dengan hak akses root karena perlu melakukan tugas tingkat rendah untuk membuat wadah. Aktor ancaman dapat memperoleh akses tingkat host dengan memodifikasi atau mengeksploitasi kerentanan dalam biner RuNC.
Temuan ini mendeteksi modifikasi biner runC dan upaya potensial untuk mengeksploitasi kerentanan RuNC berikut:
-
CVE-2019-5736
— Eksploitasi CVE-2019-5736 melibatkan penimpaan biner runC dari dalam wadah. Temuan ini dipanggil ketika biner runC dimodifikasi oleh proses di dalam wadah. -
CVE-2024-21626
— Eksploitasi CVE-2024-21626 melibatkan pengaturan direktori kerja saat ini (CWD) atau wadah ke deskriptor /proc/self/fd/
file terbuka. Temuan ini dipanggil ketika proses kontainer dengan direktori kerja saat ini di bawahFileDescriptor
/proc/self/fd/
terdeteksi, misalnya,/proc/self/fd/7
.
Temuan ini mungkin menunjukkan bahwa aktor jahat telah berusaha melakukan eksploitasi di salah satu jenis wadah berikut:
-
Wadah baru dengan gambar yang dikendalikan penyerang.
-
Wadah yang ada yang dapat diakses oleh aktor dengan izin menulis pada biner runC tingkat host.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
Upaya pelarian kontainer melalui agen CGroups rilis terdeteksi.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa upaya untuk memodifikasi file agen rilis grup kontrol (cgroup) telah terdeteksi. Linux menggunakan kelompok kontrol (cgroups) untuk membatasi, memperhitungkan, dan mengisolasi penggunaan sumber daya dari kumpulan proses. Setiap cgroup memiliki file agen rilis (release_agent
), skrip yang dijalankan Linux ketika proses apa pun di dalam cgroup berakhir. File agen rilis selalu dijalankan di tingkat host. Aktor ancaman di dalam wadah dapat melarikan diri ke host dengan menulis perintah arbitrer ke file agen rilis milik cgroup. Ketika proses di dalam cgroup itu berakhir, perintah yang ditulis oleh aktor dieksekusi.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
DefenseEvasion:Runtime/ProcessInjection.Proc
Injeksi proses menggunakan sistem file proc terdeteksi dalam wadah atau instance Amazon. EC2
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Injeksi proses adalah teknik yang digunakan aktor ancaman untuk menyuntikkan kode ke dalam proses untuk menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Proc filesystem (procfs) adalah filesystem khusus di Linux yang menyajikan memori virtual proses sebagai file. Jalur file itu adalah/proc/PID/mem
, di mana PID
ID unik dari proses tersebut. Seorang aktor ancaman dapat menulis ke file ini untuk menyuntikkan kode ke dalam proses. Temuan ini mengidentifikasi upaya potensial untuk menulis ke file ini.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
DefenseEvasion:Runtime/ProcessInjection.Ptrace
Injeksi proses menggunakan panggilan sistem ptrace terdeteksi dalam wadah atau EC2 instance Amazon.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Injeksi proses adalah teknik yang digunakan aktor ancaman untuk menyuntikkan kode ke dalam proses untuk menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Suatu proses dapat menggunakan panggilan sistem ptrace untuk menyuntikkan kode ke proses lain. Temuan ini mengidentifikasi upaya potensial untuk menyuntikkan kode ke dalam proses menggunakan panggilan sistem ptrace.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
Injeksi proses melalui penulisan langsung ke memori virtual terdeteksi dalam wadah atau EC2 instance Amazon.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Injeksi proses adalah teknik yang digunakan aktor ancaman untuk menyuntikkan kode ke dalam proses untuk menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Suatu proses dapat menggunakan panggilan sistem seperti process_vm_writev
untuk langsung menyuntikkan kode ke memori virtual proses lain. Temuan ini mengidentifikasi upaya potensial untuk menyuntikkan kode ke dalam proses menggunakan panggilan sistem untuk menulis ke memori virtual proses.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/ReverseShell
Proses dalam wadah atau EC2 instance Amazon telah membuat shell terbalik.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Shell terbalik adalah sesi shell yang dibuat pada koneksi yang dimulai dari host target ke host aktor. Ini berlawanan dengan cangkang normal yang dimulai dari host aktor ke host target. Aktor ancaman membuat shell terbalik untuk menjalankan perintah pada target setelah mendapatkan akses awal ke target. Temuan ini mengidentifikasi upaya potensial untuk membuat shell terbalik.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi.
DefenseEvasion:Runtime/FilelessExecution
Proses dalam wadah atau EC2 instance Amazon mengeksekusi kode dari memori.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda ketika suatu proses dijalankan menggunakan file yang dapat dieksekusi dalam memori pada disk. Ini adalah teknik penghindaran pertahanan umum yang menghindari penulisan executable berbahaya ke disk untuk menghindari deteksi berbasis pemindaian sistem file. Meskipun teknik ini digunakan oleh malware, ia juga memiliki beberapa kasus penggunaan yang sah. Salah satu contohnya adalah just-in-time (JIT) compiler yang menulis kode dikompilasi ke memori dan mengeksekusinya dari memori.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Impact:Runtime/CryptoMinerExecuted
Sebuah wadah atau EC2 instans Amazon mengeksekusi file biner yang terkait dengan aktivitas penambangan cryptocurrency.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa wadah atau EC2 instance di AWS lingkungan Anda mengeksekusi file biner yang terkait dengan aktivitas penambangan cryptocurrency. Aktor ancaman mungkin berusaha untuk mengambil kendali atas sumber daya komputasi untuk menggunakannya kembali secara jahat untuk penambangan cryptocurrency yang tidak sah.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.
Rekomendasi remediasi:
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol dan lihatRemediasi temuan Runtime Monitoring.
Execution:Runtime/NewLibraryLoaded
Pustaka yang baru dibuat atau yang baru dimodifikasi dimuat oleh proses di dalam wadah.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa pustaka dibuat atau dimodifikasi di dalam wadah selama runtime dan dimuat oleh proses yang berjalan di dalam wadah. Praktik terbaik adalah menjaga kontainer tetap tidak berubah saat runtime, dan tidak membuat atau memodifikasi file biner, skrip, atau pustaka selama masa pakai penampung. Memuat pustaka yang baru dibuat atau dimodifikasi dalam wadah dapat menunjukkan aktivitas yang mencurigakan. Perilaku ini menunjukkan bahwa aktor jahat berpotensi memperoleh akses ke wadah, telah mengunduh, dan mengeksekusi malware atau perangkat lunak lain sebagai bagian dari potensi kompromi. Meskipun jenis aktivitas ini bisa menjadi indikasi kompromi, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
Sebuah proses di dalam wadah memasang sistem file host saat runtime.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Beberapa teknik pelarian kontainer melibatkan pemasangan sistem file host di dalam wadah saat runtime. Temuan ini memberi tahu Anda bahwa proses di dalam wadah berpotensi mencoba memasang sistem file host, yang mungkin menunjukkan upaya untuk melarikan diri ke host.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/UserfaultfdUsage
Sebuah proses yang digunakan userfaultfd
sistem panggilan untuk menangani kesalahan halaman dalam ruang pengguna.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Biasanya, kesalahan halaman ditangani oleh kernel di ruang kernel. Namun, panggilan userfaultfd
sistem memungkinkan proses untuk menangani kesalahan halaman pada sistem file di ruang pengguna. Ini adalah fitur berguna yang memungkinkan implementasi sistem file ruang pengguna. Di sisi lain, ini juga dapat digunakan oleh proses yang berpotensi berbahaya untuk mengganggu kernel dari ruang pengguna. Menginterupsi kernel dengan menggunakan panggilan userfaultfd
sistem adalah teknik eksploitasi umum untuk memperluas jendela balapan selama eksploitasi kondisi ras kernel. Penggunaan userfaultfd
dapat menunjukkan aktivitas mencurigakan pada instans Amazon Elastic Compute Cloud EC2 (Amazon).
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/SuspiciousTool
Container atau EC2 instance Amazon menjalankan file biner atau skrip yang sering digunakan dalam skenario keamanan ofensif seperti keterlibatan pentesting.
Tingkat keparahan default: Variabel
Tingkat keparahan temuan ini bisa tinggi atau rendah, tergantung pada apakah alat mencurigakan yang terdeteksi dianggap penggunaan ganda atau hanya untuk penggunaan ofensif.
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa alat yang mencurigakan telah dieksekusi pada EC2 instance atau wadah di lingkungan Anda AWS . Ini termasuk alat yang digunakan dalam keterlibatan pentesting, juga dikenal sebagai alat backdoor, pemindai jaringan, dan sniffer jaringan. Semua alat ini dapat digunakan dalam konteks jinak tetapi juga sering digunakan oleh pelaku ancaman dengan niat jahat. Mengamati alat keamanan ofensif dapat menunjukkan bahwa EC2 contoh atau wadah terkait telah dikompromikan.
GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/SuspiciousCommand
Perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau wadah yang menunjukkan kompromi.
Tingkat keparahan default: Variabel
Bergantung pada dampak dari pola berbahaya yang diamati, tingkat keparahan jenis temuan ini bisa rendah, sedang, atau tinggi.
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa perintah mencurigakan telah dijalankan dan ini menunjukkan bahwa EC2 instance Amazon atau wadah di AWS lingkungan Anda telah disusupi. Ini mungkin berarti bahwa file diunduh dari sumber yang mencurigakan dan kemudian dieksekusi, atau proses yang berjalan menampilkan pola berbahaya yang diketahui di baris perintahnya. Ini lebih lanjut menunjukkan bahwa malware berjalan di sistem.
GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
DefenseEvasion:Runtime/SuspiciousCommand
Sebuah perintah telah dijalankan pada EC2 instance Amazon yang terdaftar atau wadah, ia mencoba untuk memodifikasi atau menonaktifkan mekanisme pertahanan Linux, seperti firewall atau layanan sistem penting.
Tingkat keparahan default: Variabel
Bergantung pada mekanisme pertahanan mana yang telah dimodifikasi atau dinonaktifkan, tingkat keparahan jenis temuan ini bisa tinggi, sedang, atau rendah.
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa perintah yang mencoba menyembunyikan serangan dari layanan keamanan sistem lokal, telah dieksekusi. Ini termasuk tindakan seperti menonaktifkan firewall Unix, memodifikasi tabel IP lokal, menghapus crontab entri, menonaktifkan layanan lokal, atau mengambil alih fungsi. LDPreload
Modifikasi apa pun sangat mencurigakan dan merupakan indikator kompromi yang potensial. Oleh karena itu, mekanisme ini mendeteksi atau mencegah kompromi lebih lanjut dari sistem.
GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
DefenseEvasion:Runtime/PtraceAntiDebugging
Proses dalam wadah atau EC2 instans Amazon telah menjalankan tindakan anti-debugging menggunakan panggilan sistem ptrace.
Tingkat keparahan default: Rendah
-
Fitur: Pemantauan Runtime
Temuan ini menunjukkan bahwa proses yang berjalan pada EC2 instance Amazon atau wadah dalam AWS lingkungan Anda telah menggunakan panggilan sistem ptrace dengan PTRACE_TRACEME
opsi tersebut. Aktivitas ini akan menyebabkan debugger terlampir terlepas dari proses yang sedang berjalan. Jika tidak ada debugger yang terpasang, itu tidak berpengaruh. Namun, aktivitas itu sendiri menimbulkan kecurigaan. Ini mungkin menunjukkan bahwa malware berjalan di sistem. Malware sering menggunakan teknik anti-debugging untuk menghindari analisis, dan teknik ini dapat dideteksi saat runtime.
GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/MaliciousFileExecuted
File executable berbahaya yang diketahui telah dieksekusi pada EC2 instance Amazon atau wadah.
Tingkat keparahan default: Tinggi
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa executable berbahaya yang diketahui telah dieksekusi di EC2 instans Amazon atau wadah di lingkungan Anda. AWS Ini adalah indikator kuat bahwa instance atau wadah berpotensi dikompromikan dan malware telah dieksekusi.
Malware sering menggunakan teknik anti-debugging untuk menghindari analisis, dan teknik ini dapat dideteksi saat runtime.
GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Execution:Runtime/SuspiciousShellCreated
Layanan jaringan atau proses yang dapat diakses jaringan pada EC2 instans Amazon, atau dalam wadah telah memulai proses shell interaktif.
Tingkat keparahan default: Rendah
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa layanan yang dapat diakses jaringan pada EC2 instans Amazon atau dalam wadah di AWS lingkungan Anda telah meluncurkan shell interaktif. Dalam keadaan tertentu, skenario ini dapat mengindikasikan perilaku pasca-eksploitasi. Shell interaktif memungkinkan penyerang untuk mengeksekusi perintah arbitrer pada instance atau wadah yang dikompromikan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat melihat informasi proses yang dapat diakses jaringan di detail proses induk.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/ElevationToRoot
Proses yang berjalan pada EC2 instans atau penampung Amazon yang terdaftar telah mengasumsikan hak akses root.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa proses yang berjalan di Amazon yang terdaftar EC2 atau dalam wadah yang terdaftar di AWS lingkungan Anda telah mengasumsikan hak akses root melalui eksekusi biner yang tidak biasa atau mencurigakansetuid
. Ini menunjukkan bahwa proses yang sedang berjalan berpotensi dikompromikan, EC2 misalnya melalui eksploitasi, atau melalui setuid
eksploitasi. Dengan menggunakan hak akses root, penyerang berpotensi mengeksekusi perintah pada instance atau container.
Meskipun GuardDuty dirancang untuk tidak menghasilkan jenis temuan ini untuk aktivitas yang melibatkan penggunaan sudo
perintah secara teratur, itu akan menghasilkan temuan ini ketika mengidentifikasi aktivitas sebagai tidak biasa atau mencurigakan.
GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Discovery:Runtime/SuspiciousCommand
Perintah mencurigakan telah dijalankan pada EC2 instans Amazon atau dalam wadah, yang memungkinkan penyerang untuk mendapatkan informasi tentang sistem lokal, AWS infrastruktur sekitarnya, atau infrastruktur kontainer.
Tingkat keparahan default: Rendah
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa EC2 instans atau wadah Amazon yang terdaftar di AWS lingkungan Anda telah menjalankan perintah yang mungkin memberi penyerang informasi penting untuk berpotensi memajukan serangan. Informasi berikut mungkin telah diambil:
-
Sistem lokal seperti konfigurasi pengguna atau jaringan,
-
AWS Sumber daya dan izin lain yang tersedia, atau
-
Infrastruktur Kubernetes seperti layanan dan pod.
EC2Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.
Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di service.runtimeDetails.context
bidang temuanJSON.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
Persistence:Runtime/SuspiciousCommand
Perintah mencurigakan telah dijalankan pada EC2 instans Amazon atau dalam wadah, yang memungkinkan penyerang untuk mempertahankan akses dan kontrol di lingkungan Anda. AWS
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau dalam wadah di lingkungan Anda AWS . Perintah ini menginstal metode persistensi yang memungkinkan malware berjalan tanpa gangguan, atau memungkinkan penyerang untuk terus mengakses instance atau tipe sumber daya kontainer yang berpotensi dikompromikan. Ini berpotensi berarti bahwa layanan sistem telah diinstal atau dimodifikasi, crontab
telah dimodifikasi, atau pengguna baru telah ditambahkan ke konfigurasi sistem.
GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.
EC2Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di service.runtimeDetails.context
bidang temuanJSON.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.
PrivilegeEscalation:Runtime/SuspiciousCommand
Perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau dalam wadah, yang memungkinkan penyerang untuk meningkatkan hak istimewa.
Tingkat keparahan default: Sedang
-
Fitur: Pemantauan Runtime
Temuan ini memberi tahu Anda bahwa perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau dalam wadah di lingkungan Anda AWS . Perintah mencoba untuk melakukan eskalasi hak istimewa, yang memungkinkan musuh untuk melakukan tugas-tugas hak istimewa yang tinggi.
GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.
EC2Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.
Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.