Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty EC2menemukan jenis
Temuan berikut khusus untuk EC2 sumber daya Amazon dan selalu memiliki Jenis Sumber DayaInstance
. Tingkat keparahan dan detail temuan berbeda berdasarkan Peran Sumber Daya, yang menunjukkan apakah EC2 sumber daya adalah target aktivitas yang mencurigakan atau aktor yang melakukan aktivitas tersebut.
Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi selengkapnya tentang sumber data dan model, lihat GuardDuty sumber data dasar.
catatan
Detail instans mungkin hilang untuk beberapa EC2 temuan jika instance telah dihentikan atau jika panggilan yang mendasarinya adalah bagian dari API panggilan Lintas wilayah API yang berasal dari EC2 instance di Wilayah lain.
Untuk semua EC2 temuan, disarankan agar Anda memeriksa sumber daya yang dimaksud untuk menentukan apakah itu berperilaku dengan cara yang diharapkan. Jika aktivitas diotorisasi, Anda dapat menggunakan Aturan Penekanan atau daftar IP Tepercaya untuk mencegah notifikasi positif palsu untuk sumber daya tersebut. Jika aktivitas tidak terduga, praktik keamanan terbaik adalah menganggap instans telah disusupi dan mengambil tindakan seperti yang diuraikan dalam Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Topik
- Backdoor:EC2/C&CActivity.B
- Backdoor:EC2/C&CActivity.B!DNS
- Backdoor:EC2/DenialOfService.Dns
- Backdoor:EC2/DenialOfService.Tcp
- Backdoor:EC2/DenialOfService.Udp
- Backdoor:EC2/DenialOfService.UdpOnTcpPorts
- Backdoor:EC2/DenialOfService.UnusualProtocol
- Backdoor:EC2/Spambot
- Behavior:EC2/NetworkPortUnusual
- Behavior:EC2/TrafficVolumeUnusual
- CryptoCurrency:EC2/BitcoinTool.B
- CryptoCurrency:EC2/BitcoinTool.B!DNS
- DefenseEvasion:EC2/UnusualDNSResolver
- DefenseEvasion:EC2/UnusualDoHActivity
- DefenseEvasion:EC2/UnusualDoTActivity
- Impact:EC2/AbusedDomainRequest.Reputation
- Impact:EC2/BitcoinDomainRequest.Reputation
- Impact:EC2/MaliciousDomainRequest.Reputation
- Impact:EC2/PortSweep
- Impact:EC2/SuspiciousDomainRequest.Reputation
- Impact:EC2/WinRMBruteForce
- Recon:EC2/PortProbeEMRUnprotectedPort
- Recon:EC2/PortProbeUnprotectedPort
- Recon:EC2/Portscan
- Trojan:EC2/BlackholeTraffic
- Trojan:EC2/BlackholeTraffic!DNS
- Trojan:EC2/DGADomainRequest.B
- Trojan:EC2/DGADomainRequest.C!DNS
- Trojan:EC2/DNSDataExfiltration
- Trojan:EC2/DriveBySourceTraffic!DNS
- Trojan:EC2/DropPoint
- Trojan:EC2/DropPoint!DNS
- Trojan:EC2/PhishingDomainRequest!DNS
- UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
- UnauthorizedAccess:EC2/MetadataDNSRebind
- UnauthorizedAccess:EC2/RDPBruteForce
- UnauthorizedAccess:EC2/SSHBruteForce
- UnauthorizedAccess:EC2/TorClient
- UnauthorizedAccess:EC2/TorRelay
Backdoor:EC2/C&CActivity.B
Sebuah EC2 instance adalah query IP yang terkait dengan perintah yang dikenal dan server kontrol.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini menginformasikan bahwa instans yang tercantum dalam lingkungan AWS Anda menanyakan IP yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Instans yang tercantum mungkin disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.
Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasukPCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan () terdistribusi. DDoS
catatan
Jika IP yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:
-
layanan. additionalInfo. threatListName = Amazon
-
layanan. additionalInfo. threatName = Log4j Terkait
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/C&CActivity.B!DNS
Sebuah EC2 instance adalah query nama domain yang dikaitkan dengan perintah yang dikenal dan server kontrol.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini menginformasikan bahwa instans yang tercantum dalam lingkungan AWS Anda menanyakan nama domain yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Instans yang tercantum mungkin disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.
Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasukPCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan () terdistribusi. DDoS
catatan
Jika nama domain yang ditanyakan terkait log4j, maka bidang temuan terkait akan mencakup nilai-nilai berikut:
-
layanan. additionalInfo. threatListName = Amazon
-
layanan. additionalInfo. threatName = Log4j Terkait
catatan
Untuk menguji bagaimana GuardDuty menghasilkan jenis temuan ini, Anda dapat membuat DNS permintaan dari instance Anda (menggunakan dig
untuk Linux atau nslookup
untuk Windows) terhadap domain pengujianguarddutyc2activityb.com
.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/DenialOfService.Dns
Sebuah EC2 instance berperilaku dengan cara yang mungkin mengindikasikan sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol. DNS
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum dalam AWS lingkungan Anda menghasilkan volume lalu lintas keluar DNS yang besar. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan DNS protokol.
catatan
Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/DenialOfService.Tcp
Sebuah EC2 instance berperilaku dengan cara yang menunjukkan sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol. TCP
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum dalam AWS lingkungan Anda menghasilkan volume lalu lintas keluar TCP yang besar. Ini mungkin menunjukkan bahwa instance dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan TCP protokol.
catatan
Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/DenialOfService.Udp
Sebuah EC2 instance berperilaku dengan cara yang menunjukkan sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol. UDP
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum dalam AWS lingkungan Anda menghasilkan volume lalu lintas keluar UDP yang besar. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan UDP protokol.
catatan
Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/DenialOfService.UdpOnTcpPorts
Sebuah EC2 instance berperilaku dengan cara yang mungkin menunjukkan sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan UDP protokol pada port. TCP
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum dalam AWS lingkungan Anda menghasilkan volume besar UDP lalu lintas keluar yang ditargetkan ke port yang biasanya digunakan untuk TCP komunikasi. Ini mungkin menunjukkan bahwa instance yang terdaftar dikompromikan dan digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan UDP protokol pada TCP port.
catatan
Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/DenialOfService.UnusualProtocol
Sebuah EC2 instance berperilaku dengan cara yang mungkin mengindikasikan sedang digunakan untuk melakukan serangan Denial of Service (DoS) menggunakan protokol yang tidak biasa.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda menghasilkan volume besar lalu lintas keluar dari jenis protokol yang tidak biasa yang biasanya tidak digunakan oleh EC2 instance, seperti Internet Group Management Protocol. Ini mungkin menunjukkan bahwa instance dikompromikan dan sedang digunakan untuk melakukan serangan denial-of-service (DoS) menggunakan protokol yang tidak biasa. Temuan ini mendeteksi serangan DoS hanya terhadap alamat IP yang dapat dirutekan secara publik, yang merupakan target utama dari serangan DoS.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Backdoor:EC2/Spambot
Sebuah EC2 instance menunjukkan perilaku yang tidak biasa dengan berkomunikasi dengan host jarak jauh di port 25.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda berkomunikasi dengan host jarak jauh di port 25. Perilaku ini tidak biasa karena EC2 instance ini tidak memiliki riwayat komunikasi sebelumnya di port 25. Port 25 secara tradisional digunakan oleh server email untuk SMTP komunikasi. Temuan ini menunjukkan EC2 instans Anda mungkin dikompromikan untuk digunakan dalam mengirimkan spam.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Behavior:EC2/NetworkPortUnusual
Sebuah EC2 instance berkomunikasi dengan host jarak jauh pada port server yang tidak biasa.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum di AWS lingkungan Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. EC2Instance ini tidak memiliki riwayat komunikasi sebelumnya di port jarak jauh ini.
catatan
Jika EC2 instance dikomunikasikan pada port 389 atau port 1389, maka tingkat keparahan temuan terkait akan dimodifikasi menjadi Tinggi, dan bidang temuan akan mencakup nilai berikut:
-
layanan. additionalInfo.context = Kemungkinan panggilan balik log4j
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Behavior:EC2/TrafficVolumeUnusual
Sebuah EC2 instance menghasilkan jumlah lalu lintas jaringan yang luar biasa besar ke host jarak jauh.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum di AWS lingkungan Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. EC2Instance ini tidak memiliki riwayat sebelumnya dalam mengirimkan lalu lintas sebanyak ini ke host jarak jauh ini.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
CryptoCurrency:EC2/BitcoinTool.B
EC2Instance adalah menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda menanyakan Alamat IP yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance ini untuk menambang atau mengelola cryptocurrency, atau instance ini terlibat dalam aktivitas blockchain, temuan ini dapat menjadi aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS
Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:EC2/BitcoinTool.B
. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
CryptoCurrency:EC2/BitcoinTool.B!DNS
EC2Instance adalah menanyakan nama domain yang terkait dengan aktivitas terkait cryptocurrency.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda menanyakan nama domain yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance ini untuk menambang atau mengelola cryptocurrency, atau instance ini terlibat dalam aktivitas blockchain, temuan ini dapat menjadi aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS
Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:EC2/BitcoinTool.B!DNS
. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
DefenseEvasion:EC2/UnusualDNSResolver
EC2Contoh Amazon berkomunikasi dengan DNS resolver publik yang tidak biasa.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda berperilaku dengan cara yang menyimpang dari perilaku dasar. EC2Contoh ini tidak memiliki sejarah baru-baru ini berkomunikasi dengan DNS resolver publik ini. Bidang yang tidak biasa di panel detail temuan di GuardDuty konsol dapat memberikan informasi tentang DNS resolver yang ditanyakan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
DefenseEvasion:EC2/UnusualDoHActivity
EC2Instans Amazon melakukan komunikasi DNS over HTTPS (DoH) yang tidak biasa.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. EC2Instance ini tidak memiliki riwayat komunikasi DNS over HTTPS (DoH) terbaru dengan server DoH publik ini. Bidang yang tidak biasa dalam rincian temuan dapat memberikan informasi tentang server DoH yang ditanyakan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
DefenseEvasion:EC2/UnusualDoTActivity
EC2Instans Amazon melakukan komunikasi DNS over TLS (DoT) yang tidak biasa.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 contoh yang tercantum di AWS lingkungan Anda berperilaku dengan cara yang menyimpang dari garis dasar yang ditetapkan. EC2Instance ini tidak memiliki riwayat komunikasi DNS over TLS (DoT) terbaru dengan server DoT publik ini. Bidang yang tidak biasa di panel rincian temuan dapat memberikan informasi tentang server DoT yang ditanyakan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/AbusedDomainRequest.Reputation
EC2Instance adalah menanyakan nama domain dengan reputasi rendah yang dikaitkan dengan domain yang disalahgunakan yang diketahui.
Tingkat keparahan default: Sedang
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain atau alamat IP yang disalahgunakan yang diketahui. Contoh domain yang disalahgunakan adalah nama domain tingkat atas (TLDs) dan nama domain tingkat kedua (2LDs) yang menyediakan pendaftaran subdomain gratis serta penyedia dinamis. DNS Aktor ancaman cenderung menggunakan layanan ini untuk mendaftarkan domain secara gratis atau dengan biaya rendah. Domain bereputasi rendah dalam kategori ini mungkin juga merupakan domain kedaluwarsa yang mencari alamat IP parkir registrar dan oleh karena itu mungkin tidak lagi aktif. IP parkir adalah tempat registrar mengarahkan lalu lintas untuk domain yang belum ditautkan ke layanan apa pun. EC2Instans Amazon yang terdaftar dapat dikompromikan karena pelaku ancaman biasanya menggunakan registrar atau layanan ini untuk distribusi C&C dan malware.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/BitcoinDomainRequest.Reputation
Sebuah EC2 instance menanyakan nama domain dengan reputasi rendah yang terkait dengan aktivitas terkait cryptocurrency.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Bitcoin adalah cryptocurrency di seluruh dunia dan sistem pembayaran digital yang dapat ditukar dengan mata uang, produk, dan layanan lainnya. Bitcoin adalah hadiah untuk penambangan bitcoin dan sangat dicari oleh para pelaku ancaman.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Rekomendasi remediasi:
Jika Anda menggunakan EC2 instance ini untuk menambang atau mengelola cryptocurrency, atau instance ini terlibat dalam aktivitas blockchain, temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika hal ini dilakukan di lingkungan AWS Anda, kami menyarankan Anda untuk menetapkan aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Impact:EC2/BitcoinDomainRequest.Reputation
. Kriteria filter kedua harus menggunakan ID Instans dari instans yang terlibat dalam aktivitas blockchain. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/MaliciousDomainRequest.Reputation
Sebuah EC2 instance menanyakan domain dengan reputasi rendah yang dikaitkan dengan domain berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain berbahaya atau alamat IP yang diketahui. Misalnya, domain dapat dikaitkan dengan alamat IP sinkhole yang dikenal. Domain sinkhole adalah domain yang sebelumnya dikendalikan oleh aktor ancaman, dan permintaan yang dibuat untuk domain tersebut dapat menunjukkan bahwa instans disusupi. Domain ini juga dapat dikorelasikan dengan kampanye berbahaya atau algoritme pembuatan domain yang dikenal.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/PortSweep
Sebuah EC2 instance sedang menyelidiki port pada sejumlah besar alamat IP.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda sedang menyelidiki port pada sejumlah besar alamat IP yang dapat dirutekan secara publik. Tipe aktivitas ini biasanya digunakan untuk menemukan host yang rentan untuk dieksploitasi. Di panel detail pencarian di GuardDuty konsol Anda, hanya alamat IP jarak jauh terbaru yang ditampilkan
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/SuspiciousDomainRequest.Reputation
Sebuah EC2 contoh adalah menanyakan nama domain dengan reputasi rendah yang mencurigakan karena usianya, atau popularitasnya yang rendah.
Tingkat keparahan default: Rendah
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instans Amazon yang terdaftar di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang diduga jahat. memperhatikan karakteristik domain ini yang konsisten dengan domain berbahaya yang diamati sebelumnya, namun, model reputasi kami tidak dapat secara definitif menghubungkannya dengan ancaman yang diketahui. Domain ini biasanya baru diamati atau menerima jumlah lalu lintas yang rendah.
Domain reputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberi peringkat karakteristik domain untuk menentukan kemungkinannya berbahaya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Impact:EC2/WinRMBruteForce
Sebuah EC2 instance melakukan serangan brute force Windows Remote Management keluar.
Tingkat keparahan default: Rendah*
catatan
Tingkat keparahan temuan ini rendah jika EC2 contoh Anda adalah target serangan brute force. Tingkat keparahan temuan ini tinggi jika EC2 contoh Anda adalah aktor yang digunakan untuk melakukan serangan brute force.
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda melakukan serangan brute force Windows Remote Management (WinRM) yang bertujuan untuk mendapatkan akses ke layanan Windows Remote Management pada sistem berbasis Windows.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Recon:EC2/PortProbeEMRUnprotectedPort
Sebuah EC2 instance memiliki port EMR terkait yang tidak dilindungi yang sedang diselidiki oleh host jahat yang dikenal.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa port sensitif EMR terkait pada EC2 instance yang terdaftar yang merupakan bagian dari cluster di AWS lingkungan Anda tidak diblokir oleh grup keamanan, daftar kontrol akses (ACL), atau firewall on-host seperti Linux. IPTables Temuan ini juga menginformasikan bahwa pemindai yang dikenal di Internet secara aktif menyelidiki port ini. Port yang dapat memicu temuan ini, seperti port 8088 (port UI YARN Web), berpotensi digunakan untuk eksekusi kode jarak jauh.
Rekomendasi remediasi:
Anda harus memblokir akses terbuka ke port pada klaster dari internet dan membatasi akses hanya ke alamat IP tertentu yang memerlukan akses ke port ini. Untuk informasi selengkapnya lihat, Grup Keamanan untuk EMR Cluster.
Recon:EC2/PortProbeUnprotectedPort
Sebuah EC2 instance memiliki port yang tidak dilindungi yang sedang diselidiki oleh host jahat yang dikenal.
Tingkat keparahan default: Rendah*
catatan
Tingkat kepelikan default temuan ini Rendah. Namun, jika port yang sedang diselidiki, digunakan oleh Elasticsearch (9200 atau 9300), tingkat keparahan temuannya Tinggi.
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa port pada EC2 instance yang terdaftar di AWS lingkungan Anda tidak diblokir oleh grup keamanan, daftar kontrol akses (ACL), atau firewall on-host seperti LinuxIPTables, dan pemindai yang dikenal di internet secara aktif menyelidikinya.
Jika port tidak terlindungi yang teridentifikasi adalah 22 atau 3389 dan Anda menggunakan port ini agar terhubung ke instans Anda, Anda masih dapat membatasi eksposur dengan mengizinkan akses ke port ini hanya untuk alamat IP dari ruang alamat IP jaringan perusahaan Anda. Untuk membatasi akses ke port 22 di Linux, lihat Otorisasi Lalu Lintas Masuk untuk Instans Linux Anda. Untuk membatasi akses ke port 3389 pada Windows, lihat Otorisasi Lalu Lintas Masuk untuk Instans Windows Anda.
GuardDuty tidak menghasilkan temuan ini untuk port 443 dan 80.
Rekomendasi remediasi:
Mungkin terdapat kasus ketika instans sengaja diekspos, misalnya ketika instans menghosting server web. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/PortProbeUnprotectedPort
. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Recon:EC2/Portscan
Sebuah EC2 instance melakukan pemindaian port keluar ke host jarak jauh.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda terlibat dalam kemungkinan serangan pemindaian port karena mencoba terhubung ke beberapa port dalam waktu singkat. Tujuan serangan pemindaian port adalah untuk menemukan port terbuka guna menemukan layanan mana yang dijalankan mesin dan untuk mengidentifikasi sistem operasinya.
Rekomendasi remediasi:
Temuan ini bisa menjadi positif palsu ketika aplikasi penilaian kerentanan diterapkan pada EC2 instance di lingkungan Anda karena aplikasi ini melakukan pemindaian port untuk mengingatkan Anda tentang port terbuka yang salah konfigurasi. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai Recon:EC2/Portscan
. Kriteria filter kedua harus sesuai dengan instans yang menghosting alat penilaian kerentanan ini. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak terduga, instans Anda kemungkinan disusupi, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/BlackholeTraffic
Sebuah EC2 contoh mencoba berkomunikasi dengan alamat IP dari host jarak jauh yang merupakan lubang hitam yang dikenal.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda mungkin terganggu karena mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju. Alamat IP lubang hitam menentukan mesin host yang tidak berjalan atau alamat yang tidak ada host yang ditugaskan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/BlackholeTraffic!DNS
Sebuah EC2 instance menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam.
Tingkat keparahan default: Sedang
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam. Lubang hitam adalah tempat di jaringan di mana lalu lintas masuk atau keluar dibuang secara diam-diam tanpa memberi tahu sumber bahwa data tidak mencapai penerima yang dituju.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DGADomainRequest.B
Sebuah EC2 instance menanyakan domain yang dihasilkan secara algoritmik. Domain semacam itu biasanya digunakan oleh malware dan bisa menjadi indikasi contoh yang dikompromikanEC2.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda mencoba menanyakan domain algorithm (DGA) pembuatan domain. EC2Contoh Anda mungkin dikompromikan.
DGAsdigunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.
catatan
Temuan ini didasarkan pada analisis nama domain menggunakan heuristik canggih dan dapat mengidentifikasi DGA domain baru yang tidak ada dalam umpan intelijen ancaman.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DGADomainRequest.C!DNS
Sebuah EC2 instance menanyakan domain yang dihasilkan secara algoritmik. Domain semacam itu biasanya digunakan oleh malware dan bisa menjadi indikasi contoh yang dikompromikanEC2.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda mencoba menanyakan domain algorithm (DGA) pembuatan domain. EC2Contoh Anda mungkin dikompromikan.
DGAsdigunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.
catatan
Temuan ini didasarkan pada DGA domain yang diketahui dari GuardDuty umpan intelijen ancaman.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DNSDataExfiltration
Sebuah EC2 instance mengekstrasi data melalui DNS kueri.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda menjalankan malware yang menggunakan DNS kueri untuk transfer data keluar. Tipe transfer data ini merupakan indikasi dari instans yang disusupi dan dapat mengakibatkan eksfiltrasi data. DNSLalu lintas biasanya tidak diblokir oleh firewall. Misalnya, malware dalam EC2 contoh yang dikompromikan dapat menyandikan data, (seperti nomor kartu kredit Anda), ke dalam DNS kueri dan mengirimkannya ke DNS server jarak jauh yang dikendalikan oleh penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DriveBySourceTraffic!DNS
EC2Instance adalah menanyakan nama domain dari host jarak jauh yang merupakan sumber serangan unduhan Drive-By yang dikenal.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance yang terdaftar di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain host jarak jauh yang merupakan sumber serangan unduhan drive-by yang diketahui. Ini merupakan unduhan perangkat lunak komputer yang tidak diinginkan dari internet yang dapat memicu penginstalan virus, spyware, atau malware secara otomatis.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DropPoint
Sebuah EC2 contoh mencoba untuk berkomunikasi dengan alamat IP dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/DropPoint!DNS
EC2Instance adalah menanyakan nama domain dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Tingkat keparahan default: Sedang
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda menanyakan nama domain dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Trojan:EC2/PhishingDomainRequest!DNS
EC2Instance adalah menanyakan domain yang terlibat dalam serangan phishing. EC2Contoh Anda mungkin dikompromikan.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa ada EC2 instance di AWS lingkungan Anda yang mencoba menanyakan domain yang terlibat dalam serangan phishing. Domain phishing dibuat oleh seseorang yang menyamar sebagai institusi yang sah untuk membujuk individu agar memberikan data sensitif, seperti informasi pengenal pribadi, detail kartu kredit dan perbankan, serta kata sandi. EC2Instans Anda mungkin mencoba mengambil data sensitif yang disimpan di situs web phishing, atau mungkin mencoba menyiapkan situs web phishing. EC2Contoh Anda mungkin dikompromikan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
Sebuah EC2 instans membuat koneksi ke alamat IP pada daftar ancaman khusus.
Tingkat keparahan default: Sedang
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda berkomunikasi dengan alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Dalam GuardDuty, daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. GuardDutymenghasilkan temuan berdasarkan daftar ancaman yang diunggah. Daftar ancaman yang digunakan untuk menghasilkan temuan ini akan tercantum dalam detail temuan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
UnauthorizedAccess:EC2/MetadataDNSRebind
Sebuah EC2 instance melakukan DNS pencarian yang menyelesaikan layanan metadata instance.
Tingkat keparahan default: Tinggi
-
Sumber data: DNS log
Temuan ini memberi tahu Anda bahwa EC2 instance di AWS lingkungan Anda menanyakan domain yang menyelesaikan alamat IP EC2 metadata (169.254.169.254). DNSKueri semacam ini dapat menunjukkan bahwa instance adalah target dari teknik DNS pengikatan ulang. Teknik ini dapat digunakan untuk mendapatkan metadata dari sebuah EC2 instance, termasuk IAM kredensyal yang terkait dengan instance.
DNSrebinding melibatkan menipu aplikasi yang berjalan pada EC2 instance untuk memuat data yang dikembalikan dari aURL, di mana nama domain dalam URL menyelesaikan ke alamat IP EC2 metadata (169.254.169.254). Ini menyebabkan aplikasi mengakses EC2 metadata dan mungkin membuatnya tersedia untuk penyerang.
Dimungkinkan untuk mengakses EC2 metadata menggunakan DNS rebinding hanya jika EC2 instance menjalankan aplikasi rentan yang memungkinkan injeksiURLs, atau jika seseorang mengakses URL di browser web yang berjalan pada instance. EC2
Rekomendasi remediasi:
Menanggapi temuan ini, Anda harus mengevaluasi apakah ada aplikasi rentan yang berjalan pada EC2 instance, atau jika seseorang menggunakan browser untuk mengakses domain yang diidentifikasi dalam temuan. Jika akar penyebabnya adalah aplikasi yang rentan, Anda harus memperbaiki kerentanannya. Jika seseorang menjelajahi domain yang diidentifikasi, Anda harus memblokir domain atau mencegah pengguna mengaksesnya. Jika Anda menentukan temuan ini terkait dengan kedua kasus di atas, cabut sesi yang terkait dengan instance. EC2
Beberapa AWS pelanggan sengaja memetakan alamat IP metadata ke nama domain di server otoritatif mereka. DNS Jika hal ini dilakukan di lingkungan Anda, kami menyarankan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/MetaDataDNSRebind
. Kriteria filter kedua harus domain DNS permintaan dan nilainya harus sesuai dengan domain yang telah Anda petakan ke alamat IP metadata (169.254.169.254). Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
UnauthorizedAccess:EC2/RDPBruteForce
Sebuah EC2 contoh telah terlibat dalam serangan RDP brute force.
Tingkat keparahan default: Rendah*
catatan
Tingkat keparahan temuan ini rendah jika EC2 contoh Anda adalah target serangan brute force. Tingkat keparahan temuan ini tinggi jika EC2 contoh Anda adalah aktor yang digunakan untuk melakukan serangan brute force.
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda terlibat dalam serangan brute force yang bertujuan mendapatkan kata sandi untuk RDP layanan pada sistem berbasis Windows. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya AWS Anda.
Rekomendasi remediasi:
Jika Peran Sumber Daya instans Anda adalahACTOR
, ini menunjukkan instance Anda telah digunakan untuk melakukan serangan RDP brute force. Kecuali instans ini memiliki alasan yang sah untuk menghubungi alamat IP yang terdaftar sebagai Target
, Anda disarankan untuk menganggap bahwa instans Anda telah disusupi dan mengambil tindakan yang tercantum di Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
Jika Peran Sumber Daya instans Anda adalahTARGET
, temuan ini dapat diperbaiki dengan mengamankan RDP port Anda agar hanya dipercaya IPs melalui Grup KeamananACLs, atau firewall. Untuk informasi selengkapnya, lihat Tips untuk mengamankan EC2 instans Anda (Linux)
UnauthorizedAccess:EC2/SSHBruteForce
Sebuah EC2 contoh telah terlibat dalam serangan SSH brute force.
Tingkat keparahan default: Rendah*
catatan
Tingkat keparahan temuan ini rendah jika serangan brute force ditujukan pada salah satu EC2 contoh Anda. Tingkat keparahan temuan ini tinggi jika EC2 instance Anda digunakan untuk melakukan serangan brute force.
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 contoh di AWS lingkungan Anda terlibat dalam serangan brute force yang bertujuan mendapatkan kata sandi untuk SSH layanan pada sistem berbasis Linux. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya AWS Anda.
catatan
Temuan ini dihasilkan hanya melalui pemantauan lalu lintas pada port 22. Jika SSH layanan Anda dikonfigurasi untuk menggunakan port lain, temuan ini tidak dihasilkan.
Rekomendasi remediasi:
Jika target upaya brute force adalah host benteng, ini mungkin mewakili perilaku yang diharapkan untuk lingkungan Anda AWS . Jika demikian, kami menyarakan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai UnauthorizedAccess:EC2/SSHBruteForce
. Kriteria filter kedua harus sesuai dengan instans yang berfungsi sebagai host bastion. Anda dapat menggunakan atribut ID gambar Instans atau atribut nilai Tanda, tergantung kriteria yang diidentifikasi dengan instans yang menghosting alat ini. Untuk informasi selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.
Jika aktivitas ini tidak diharapkan untuk lingkungan Anda dan Peran Sumber Daya instans Anda adalahTARGET
, temuan ini dapat diperbaiki dengan mengamankan SSH port Anda agar hanya dipercaya IPs melalui Grup KeamananACLs, atau firewall. Untuk informasi selengkapnya, lihat Tips untuk mengamankan EC2 instans Anda (Linux)
Jika Resource Role instans Anda adalahACTOR
, ini menunjukkan instance telah digunakan untuk melakukan serangan SSH brute force. Kecuali instans ini memiliki alasan yang sah untuk menghubungi alamat IP yang terdaftar sebagai Target
, Anda disarankan untuk menganggap bahwa instans Anda telah disusupi dan mengambil tindakan yang tercantum di Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
UnauthorizedAccess:EC2/TorClient
EC2Instance Anda membuat koneksi ke Tor Guard atau node Authority.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda membuat koneksi ke Tor Guard atau node Authority. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Node Tor Guards dan Authority bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat menunjukkan bahwa EC2 instance ini telah dikompromikan dan bertindak sebagai klien di jaringan Tor. Temuan ini mungkin menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.
UnauthorizedAccess:EC2/TorRelay
EC2Contoh Anda membuat koneksi ke jaringan Tor sebagai relay Tor.
Tingkat keparahan default: Tinggi
-
Sumber data: log VPC aliran
Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda membuat koneksi ke jaringan Tor dengan cara yang menunjukkan bahwa itu bertindak sebagai relay Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Tor meningkatkan anonimitas komunikasi dengan meneruskan lalu lintas klien yang kemungkinan terlarang dari satu relay Tor ke relay lainnya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.