기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty EC2 조사 결과 유형

다음 결과는 Amazon EC2 리소스에만 해당되며 항상 리소스 유형이 입니다Instance. 조사 결과의 심각도와 세부 정보는 리소스 역할에 따라 다릅니다. 리소스 역할은 EC2 리소스가 의심스러운 활동의 대상인지 아니면 활동을 수행하는 액터인지를 나타냅니다.

여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 데이터 소스 및 모델에 대한 자세한 내용은 GuardDuty 기본 데이터 소스 섹션을 참조하세요.

모든 EC2 결과에 대해 문제의 리소스를 검사하여 예상대로 작동하는지 확인하는 것이 좋습니다. 활동이 승인된 경우 억제 규칙 또는 신뢰할 수 있는 IP 목록을 사용하여 해당 리소스에 대한 오탐지 알림을 방지할 수 있습니다. 활동이 예기치 않게 발생한 경우, 보안을 유지하는 가장 좋은 방법은 인스턴스가 손상되었다고 가정하고 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결에 설명된 작업을 수행하는 것입니다.

Backdoor:EC2/C&CActivity.B

EC2 인스턴스가 알려진 명령 및 제어 서버와 연결된 IP를 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경 내에 알려진 명령 및 제어(C&C) 서버와 연결된 IP를 쿼리하는 인스턴스가 있음을 알립니다. 나열된 인스턴스는 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.

봇넷은 일반적인 유형의 맬웨어에 의해 감염되고 제어되는 PCs, 서버, 모바일 디바이스 및 사물 인터넷 디바이스를 포함할 수 있는 인터넷 연결 디바이스 모음입니다. 일반적으로 봇넷은 맬웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 목적과 구조에 따라 C&C 서버는 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/C&CActivity.B!DNS

EC2 인스턴스가 알려진 명령 및 제어 서버와 연결된 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경 내에 알려진 명령 및 제어(C&C) 서버와 연결된 도메인 이름을 쿼리하는 인스턴스가 있음을 알립니다. 나열된 인스턴스는 손상되었을 수 있습니다. 명령 및 제어(C&C) 서버는 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다.

봇넷은 일반적인 유형의 맬웨어에 의해 감염되고 제어되는 PCs, 서버, 모바일 디바이스 및 사물 인터넷 디바이스를 포함할 수 있는 인터넷 연결 디바이스 모음입니다. 일반적으로 봇넷은 맬웨어를 분산하고 부적절한 정보(예: 신용카드 번호)를 수집합니다. 봇넷의 목적과 구조에 따라 C&C 서버는 분산 서비스 거부(DDoS) 공격을 시작하는 명령을 실행할 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/DenialOfService.Dns

EC2 인스턴스는 DNS 프로토콜을 사용하여 서비스 거부(DoS) 공격을 수행하는 데 사용되고 있음을 나타낼 수 있는 방식으로 동작합니다.

기본 심각도: 높음

이 결과는 환경 AWS 내에 나열된 EC2 인스턴스가 대량의 아웃바운드 DNS 트래픽을 생성하고 있음을 알려줍니다. 이는 나열된 인스턴스가 손상되어 DNS 프로토콜을 사용하여 denial-of-service (DoS) 공격을 수행하는 데 사용 중임을 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/DenialOfService.Tcp

EC2 인스턴스는 TCP 프로토콜을 사용하여 서비스 거부(DoS) 공격을 수행하는 데 사용되고 있음을 나타내는 방식으로 동작합니다.

기본 심각도: 높음

이 결과는 환경 AWS 내에 나열된 EC2 인스턴스가 대량의 아웃바운드 TCP 트래픽을 생성하고 있음을 알려줍니다. 이는 인스턴스가 손상되어 TCP 프로토콜을 사용하여 denial-of-service (DoS) 공격을 수행하는 데 사용 중임을 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/DenialOfService.Udp

EC2 인스턴스는 UDP 프로토콜을 사용하여 서비스 거부(DoS) 공격을 수행하는 데 사용되고 있음을 나타내는 방식으로 동작합니다.

기본 심각도: 높음

이 결과는 환경 내에 AWS 나열된 EC2 인스턴스가 대량의 아웃바운드 UDP 트래픽을 생성하고 있음을 알려줍니다. 이는 나열된 인스턴스가 손상되어 UDP 프로토콜을 사용하여 denial-of-service (DoS) 공격을 수행하는 데 사용 중임을 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 인스턴스는 TCP 포트에서 UDP 프로토콜을 사용하여 서비스 거부(DoS) 공격을 수행하는 데 사용되고 있음을 나타낼 수 있는 방식으로 동작합니다.

기본 심각도: 높음

이 결과는 환경 AWS 내에 나열된 EC2 인스턴스가 일반적으로 TCP 통신에 사용되는 포트를 대상으로 하는 대량의 아웃바운드 UDP 트래픽을 생성하고 있음을 알려줍니다. 이는 나열된 인스턴스가 손상되어 TCP 포트에서 UDP 프로토콜을 사용하여 (DoS) 공격을 수행하는 denial-of-service 데 사용 중임을 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 인스턴스는 비정상적인 프로토콜을 사용하여 서비스 거부(DoS) 공격을 수행하는 데 사용되고 있음을 나타낼 수 있는 방식으로 동작합니다.

기본 심각도: 높음

이 결과는 환경에 나열된 EC2 인스턴스 AWS 가 Internet Group Management Protocol과 같은 EC2 인스턴스에서 일반적으로 사용되지 않는 비정상적인 프로토콜 유형에서 대량의 아웃바운드 트래픽을 생성하고 있음을 알려줍니다. 이는 인스턴스가 손상되어 비정상적인 프로토콜을 사용하여 (DoS) 공격을 수행하는 denial-of-service 데 사용되고 있음을 나타낼 수 있습니다. 이 조사 결과는 DoS 공격의 주요 대상인 공개적으로 라우팅이 가능한 IP 주소에 대한 DoS 공격만 감지합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Backdoor:EC2/Spambot

EC2 인스턴스가 포트 25의 원격 호스트와 통신하여 비정상적인 동작을 보이고 있습니다.

기본 심각도: 중간

이 결과는 환경 AWS 의 나열된 EC2 인스턴스가 포트 25의 원격 호스트와 통신하고 있음을 알려줍니다. 이 EC2 인스턴스에는 포트 25에 대한 이전 통신 기록이 없으므로이 동작은 비정상적입니다. 포트 25는 전통적으로 메일 서버에서 SMTP 통신에 사용됩니다. 이 결과는 스팸을 보내는 데 사용하기 위해 EC2 인스턴스가 손상되었을 수 있음을 나타냅니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Behavior:EC2/NetworkPortUnusual

EC2 인스턴스가 비정상적인 서버 포트에서 원격 호스트와 통신하고 있습니다.

기본 심각도: 중간

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 설정된 기준에서 벗어나는 방식으로 작동하고 있음을 알려줍니다. 이 EC2 인스턴스에는이 원격 포트에 대한 이전 통신 기록이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Behavior:EC2/TrafficVolumeUnusual

EC2 인스턴스가 원격 호스트에 비정상적으로 많은 양의 네트워크 트래픽을 생성하고 있습니다.

기본 심각도: 중간

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 설정된 기준에서 벗어나는 방식으로 작동하고 있음을 알려줍니다. 이 EC2 인스턴스에는이 원격 호스트로이 많은 트래픽을 보낸 이전 기록이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

CryptoCurrency:EC2/BitcoinTool.B

EC2 인스턴스가 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 환경 AWS 의 나열된 EC2 인스턴스가 Bitcoin 또는 기타 암호화폐 관련 활동과 연결된 IP 주소를 쿼리하고 있음을 알려줍니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.

해결 권장 사항:

이 EC2 인스턴스를 사용하여 암호화폐를 마이닝하거나 관리하는 경우 또는이 인스턴스가 블록체인 활동에 관련된 경우이 결과는 환경에 예상되는 활동일 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 CryptoCurrency:EC2/BitcoinTool.B 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 인스턴스 ID여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 단원을 참조하십시오.

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 인스턴스가 암호화폐 관련 활동과 연결된 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 환경 AWS 의 나열된 EC2 인스턴스가 Bitcoin 또는 기타 암호화폐 관련 활동과 연결된 도메인 이름을 쿼리하고 있음을 알려줍니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.

해결 권장 사항:

이 EC2 인스턴스를 사용하여 암호화폐를 마이닝하거나 관리하는 경우 또는이 인스턴스가 블록체인 활동에 관련된 경우이 결과는 환경에 예상되는 활동일 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 CryptoCurrency:EC2/BitcoinTool.B!DNS 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 인스턴스 ID여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 단원을 참조하십시오.

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

DefenseEvasion:EC2/UnusualDNSResolver

Amazon EC2 인스턴스가 비정상적인 퍼블릭 DNS 해석기와 통신하고 있습니다.

기본 심각도: 중간

이 결과는 환경에 AWS 나열된 Amazon EC2 인스턴스가 기준 동작과 다른 방식으로 동작하고 있음을 알려줍니다. 이 EC2 인스턴스에는이 퍼블릭 DNS 해석기와 통신한 최근 기록이 없습니다. GuardDuty 콘솔의 조사 결과 세부 정보 패널에 있는 비정상적인 필드는 쿼리된 DNS 해석기에 대한 정보를 제공할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2 인스턴스가 비정상적인 DNS 오버HTTPS(DoH) 통신을 수행하고 있습니다.

기본 심각도: 중간

이 결과는 환경 AWS 내에 나열된 Amazon EC2 인스턴스가 설정된 기준에서 벗어나는 방식으로 동작하고 있음을 알려줍니다. 이 EC2 인스턴스에는이 퍼블릭 DoH 서버와의 DNS 초과HTTPS(DoH) 통신에 대한 최근 기록이 없습니다.DoH 결과 세부 정보의 비정상적 필드는 쿼리된 DoH 서버에 관한 정보를 제공할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2 인스턴스가 비정상적인 DNS 오버TLS(DoT) 통신을 수행하고 있습니다.

기본 심각도: 중간

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 설정된 기준에서 벗어나는 방식으로 작동하고 있음을 알려줍니다. 이 EC2 인스턴스에는이 퍼블릭 DoT 서버와의 DNS 초과TLS(DoT) 통신에 대한 최근 기록이 없습니다.DoT 결과 세부 정보 패널의 비정상적 필드는 쿼리된 DoT 서버에 관한 정보를 제공할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/AbusedDomainRequest.Reputation

EC2 인스턴스가 알려진 남용 도메인과 연결된 평판이 낮은 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 중간

이 결과는 환경 AWS 내에 나열된 Amazon EC2 인스턴스가 알려진 남용 도메인 또는 IP 주소와 연결된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 남용된 도메인의 예로는 상위 수준 도메인 이름(TLDs)과 무료 하위 도메인 등록과 동적 DNS 공급자를 제공하는 두 번째 수준 도메인 이름(2LDs)이 있습니다. 위협 작업자는 이러한 서비스를 활용하여 무료로 또는 저렴한 비용으로 도메인을 등록하는 경향이 있습니다. 이 범주에서 평판이 낮은 도메인은 등록 기관의 파킹 IP 주소로 확인되는 만료된 도메인일 수도 있으며, 그에 따라 더 이상 활성화되지 않을 수도 있습니다. 파킹 IP에서 등록 기관은 어떤 서비스와도 연결되지 않은 도메인의 트래픽을 전달합니다. 나열된 Amazon EC2 인스턴스는 공격자가 일반적으로 C&C 및 맬웨어 배포를 위해 이러한 등록 기관의 또는 서비스를 사용하기 때문에 손상될 수 있습니다.

평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 인스턴스가 암호화폐 관련 활동과 연결된 평판이 낮은 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 환경 AWS 내에 나열된 Amazon EC2 인스턴스가 Bitcoin 또는 기타 암호화폐 관련 활동과 관련된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 비트코인은 다른 통화, 제품, 서비스와 교환할 수 있는 세계적인 암호화폐 및 디지털 결제 시스템입니다. 비트코인은 비트코인 채굴에 따른 보상으로, 공격자들의 많은 관심을 받고 있습니다.

평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.

해결 권장 사항:

이 EC2 인스턴스를 사용하여 암호화폐를 마이닝하거나 관리하는 경우 또는이 인스턴스가 블록체인 활동에 관련된 경우이 결과는 환경에 예상되는 활동을 나타낼 수 있습니다. AWS 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 Impact:EC2/BitcoinDomainRequest.Reputation 값을 사용해야 합니다. 두 번째 필터 기준은 블록체인 활동에 관여한 인스턴스의 인스턴스 ID여야 합니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 단원을 참조하십시오.

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 인스턴스가 알려진 악성 도메인과 연결된 평판이 낮은 도메인을 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 환경 AWS 내에 나열된 Amazon EC2 인스턴스가 알려진 악성 도메인 또는 IP 주소와 연결된 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다. 예를 들어 도메인이 알려진 싱크홀 IP 주소와 연결되어 있을 수 있습니다. 싱크홀 도메인은 이전에 위협 작업자가 통제한 도메인으로, 이러한 도메인에 대한 요청은 인스턴스 손상을 나타낼 수 있습니다. 이러한 도메인은 알려진 악성 캠페인 또는 도메인 생성 알고리즘과도 상관관계가 있을 수 있습니다.

평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/PortSweep

EC2 인스턴스가 많은 수의 IP 주소에서 포트를 검사하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 나열된 EC2 인스턴스가 공개적으로 라우팅 가능한 많은 IP 주소의 포트를 탐색하고 있음을 알려줍니다. 이러한 유형의 활동은 일반적으로 악용할 취약한 호스트를 찾는 데 사용됩니다. GuardDuty 콘솔의 조사 결과 세부 정보 패널에는 최신 원격 IP 주소만 표시됩니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 인스턴스가 노후화 또는 낮은 인기로 인해 본질적으로 의심스러운 평판이 낮은 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 낮음

이 결과는 환경 AWS 내에 나열된 Amazon EC2 인스턴스가 악성으로 의심되는 평판이 낮은 도메인 이름을 쿼리하고 있음을 알려줍니다.는 이전에 관찰된 악성 도메인과 일치하는이 도메인의 특성을 발견했지만 평판 모델은 이를 알려진 위협과 명확하게 연결할 수 없었습니다. 이러한 도메인은 대체로 새로 관찰되었거나 트래픽이 적습니다.

평판이 낮은 도메인은 평판 점수 모델을 기반으로 합니다. 이 모델은 도메인의 특성을 평가하고 순위를 매겨 악성일 가능성을 판단합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Impact:EC2/WinRMBruteForce

EC2 인스턴스가 아웃바운드 Windows Remote Management 무차별 포스 공격을 수행하고 있습니다.

기본 심각도: 낮음*

이 조사 결과는 환경 AWS 의 나열된 EC2 인스턴스가 Windows 기반 시스템에서 Windows Remote Management 서비스에 대한 액세스 권한을 얻기 위한 Windows Remote Management(WinRM) 무차별 포스 공격을 수행하고 있음을 알려줍니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 인스턴스에는 알려진 악성 호스트가 검사하는 보호되지 않은 EMR 관련 포트가 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 클러스터에 속하는 나열된 EC2 인스턴스의 민감한 EMR 관련 포트가 보안 그룹, 액세스 제어 목록(ACL) 또는 Linux와 같은 온 호스트 방화벽에 의해 차단되지 않음을 알려줍니다IPTables. 이 발견은 또한 인터넷에서 알려진 스캐너가 이 포트를 적극적으로 조사하고 있음을 알려줍니다. 포트 8088(YARN웹 UI 포트)과 같이이 결과를 트리거할 수 있는 포트는 잠재적으로 원격 코드 실행에 사용할 수 있습니다.

해결 권장 사항:

클러스터의 포트에 대한 인터넷으로부터의 개방 액세스를 차단하고, 액세스 범위를 이러한 포트에 대한 액세스를 요구하는 특정 IP 주소로만 제한하는 것을 고려해야 합니다. 자세한 내용은 EMR 클러스터용 보안 그룹을 참조하세요.

Recon:EC2/PortProbeUnprotectedPort

EC2 인스턴스에는 알려진 악성 호스트가 검사하는 보호되지 않는 포트가 있습니다.

기본 심각도: 낮음*

이 결과는 환경의 AWS 나열된 EC2 인스턴스에 있는 포트가 보안 그룹, 액세스 제어 목록(ACL) 또는 LinuxIPTables와 같은 온 호스트 방화벽에 의해 차단되지 않으며 인터넷에서 알려진 스캐너가 적극적으로 탐색하고 있음을 알려줍니다.

보호되지 않은 것으로 식별된 포트가 22 또는 3389인데 이러한 포트를 사용하여 인스턴스에 연결하는 경우에도 회사 네트워크 IP 주소 공간의 IP 주소에 대해서만 이러한 포트에 액세스할 수 있도록 허용하여 노출을 제한할 수 있습니다. Linux의 포트 22에 대한 액세스를 제한하려면 Linux 인스턴스의 인바운드 트래픽 권한 부여 단원을 참조하십시오. Windows의 포트 3389에 대한 액세스를 제한하려면 Windows 인스턴스의 인바운드 트래픽 권한 부여 단원을 참조하십시오.

GuardDuty 는 포트 443 및 80에 대해이 결과를 생성하지 않습니다.

해결 권장 사항:

인스턴스가 웹 서버를 호스팅하는 경우와 같이 의도적으로 노출되는 경우가 있을 수 있습니다. AWS 환경의 경우이 결과에 대한 금지 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 Recon:EC2/PortProbeUnprotectedPort 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 인스턴스 이미지 ID 속성 또는 태그 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 섹션을 참조하세요.

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Recon:EC2/Portscan

EC2 인스턴스가 원격 호스트로 아웃바운드 포트 스캔을 수행하고 있습니다.

기본 심각도: 중간

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 짧은 시간 동안 여러 포트에 연결하려고 하기 때문에 가능한 포트 스캔 공격에 관여하고 있음을 알려줍니다. 포트 스캔 공격의 목적은 개방 포트를 찾아 머신이 실행 중인 서비스를 파악하고 해당 머신의 운영 체제를 식별하는 것입니다.

해결 권장 사항:

취약성 평가 애플리케이션이 환경의 EC2 인스턴스에 배포될 때이 결과는 거짓 긍정일 수 있습니다. 이러한 애플리케이션은 포트 스캔을 수행하여 잘못 구성된 열린 포트를 알리기 때문입니다. AWS 환경의 경우이 결과에 대한 금지 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 Recon:EC2/Portscan 값을 사용해야 합니다. 두 번째 필터 기준은 이러한 취약성 평가 도구를 호스팅하는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 Instance image ID 속성 또는 Tag 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 섹션을 참조하세요.

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 가능성이 높습니다. 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/BlackholeTraffic

EC2 인스턴스가 알려진 블랙홀인 원격 호스트의 IP 주소와 통신을 시도하고 있습니다.

기본 심각도: 중간

이 결과는 AWS 환경의 나열된 EC2 인스턴스가 블랙홀(또는 싱크홀)의 IP 주소와 통신하려고 하기 때문에 손상될 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다. 블랙홀 IP 주소는 실행되고 있지 않은 호스트 머신 또는 호스트가 할당되지 않은 주소를 지정합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/BlackholeTraffic!DNS

EC2 인스턴스가 블랙홀 IP 주소로 리디렉션되는 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 중간

이 결과는 블랙홀 IP 주소로 리디렉션되는 도메인 이름을 쿼리하기 때문에 AWS 환경에 나열된 EC2 인스턴스가 손상될 수 있음을 알려줍니다. 블랙홀은 데이터가 의도한 수신자에게 도달하지 않았음을 소스에 알리지 않고 수신 트래픽 또는 발신 트래픽을 자동으로 취소하는 네트워크의 위치입니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DGADomainRequest.B

EC2 인스턴스가 알고리즘으로 생성된 도메인을 쿼리하고 있습니다. 이러한 도메인은 일반적으로 맬웨어에서 사용되며 손상된 EC2 인스턴스를 나타낼 수 있습니다.

기본 심각도: 높음

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 도메인 생성 알고리즘(DGA) 도메인을 쿼리하려고 함을 알려줍니다. EC2 인스턴스가 손상되었을 수 있습니다.

DGAs는 명령 및 제어(C&C) 서버에서 렌데즈부 포인트로 사용할 수 있는 많은 수의 도메인 이름을 주기적으로 생성하는 데 사용됩니다. 명령 및 제어(C&C) 서버는 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스 모음인 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다. 감염된 컴퓨터가 업데이트 또는 명령을 수신하기 위해 매일 도메인 이름 중 일부에 접속을 시도하기 때문에 잠재적인 랑데부 지점이 많으면 봇넷을 효율적으로 종료하기가 어렵습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DGADomainRequest.C!DNS

EC2 인스턴스가 알고리즘으로 생성된 도메인을 쿼리하고 있습니다. 이러한 도메인은 일반적으로 맬웨어에서 사용되며 손상된 EC2 인스턴스를 나타낼 수 있습니다.

기본 심각도: 높음

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 도메인 생성 알고리즘(DGA) 도메인을 쿼리하려고 함을 알려줍니다. EC2 인스턴스가 손상되었을 수 있습니다.

DGAs는 명령 및 제어(C&C) 서버에서 렌데즈부 포인트로 사용할 수 있는 많은 수의 도메인 이름을 주기적으로 생성하는 데 사용됩니다. 명령 및 제어(C&C) 서버는 일반적인 유형의 맬웨어에 감염되어 해당 맬웨어의 제어를 받는 인터넷 연결 디바이스 모음인 봇넷의 멤버에게 명령을 발행하는 컴퓨터입니다. 감염된 컴퓨터가 업데이트 또는 명령을 수신하기 위해 매일 도메인 이름 중 일부에 접속을 시도하기 때문에 잠재적인 랑데부 지점이 많으면 봇넷을 효율적으로 종료하기가 어렵습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DNSDataExfiltration

EC2 인스턴스가 DNS 쿼리를 통해 데이터를 유출합니다.

기본 심각도: 높음

이 결과는 환경에 AWS 나열된 EC2 인스턴스가 아웃바운드 데이터 전송에 DNS 쿼리를 사용하는 맬웨어를 실행하고 있음을 알려줍니다. 이러한 유형의 데이터 전송은 손상된 인스턴스를 나타내며 데이터가 유출될 수 있습니다. DNS 트래픽은 일반적으로 방화벽에 의해 차단되지 않습니다. 예를 들어 손상된 EC2 인스턴스의 맬웨어는 데이터(예: 신용 카드 번호)를 DNS 쿼리로 인코딩하여 공격자가 제어하는 원격 DNS 서버로 전송할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 인스턴스가 Drive-By 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하고 있습니다.

기본 심각도: 높음

이 결과는 환경의 AWS 나열된 EC2 인스턴스가 드라이브 바이 다운로드 공격의 알려진 소스인 원격 호스트의 도메인 이름을 쿼리하기 때문에 손상될 수 있음을 알려줍니다. 인터넷에서 이러한 컴퓨터 소프트웨어의 의도치 않은 다운로드로 인해 바이러스, 스파이웨어 또는 맬웨어가 자동으로 설치될 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DropPoint

EC2 인스턴스가 맬웨어로 캡처된 보안 인증 정보 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 IP 주소와 통신을 시도하고 있습니다.

기본 심각도: 중간

이 결과는 AWS 환경의 EC2 인스턴스가 맬웨어로 캡처된 보안 인증 정보 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 IP 주소와 통신하려고 함을 알려줍니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/DropPoint!DNS

EC2 인스턴스는 맬웨어로 캡처된 보안 인증 정보 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 도메인 이름을 쿼리합니다.

기본 심각도: 중간

이 결과는 AWS 환경의 EC2 인스턴스가 맬웨어로 캡처된 보안 인증 정보 및 기타 도난 데이터를 보유한 것으로 알려진 원격 호스트의 도메인 이름을 쿼리하고 있음을 알려줍니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

Trojan:EC2/PhishingDomainRequest!DNS

EC2 인스턴스가 피싱 공격과 관련된 도메인을 쿼리하고 있습니다. EC2 인스턴스가 손상되었을 수 있습니다.

기본 심각도: 높음

이 결과는 사용자 AWS 환경에 피싱 공격과 관련된 도메인을 쿼리하려는 EC2 인스턴스가 있음을 알려줍니다. 피싱 도메인은 개인이 개인 식별 정보, 은행 및 신용 카드 세부 정보, 암호 등의 중요한 데이터 제공을 유도하기 위해 합법적인 기관으로 위장한 사람이 설정한 도메인입니다. EC2 인스턴스가 피싱 웹 사이트에 저장된 민감한 데이터를 검색하려고 하거나 피싱 웹 사이트를 설정하려고 할 수 있습니다. EC2 인스턴스가 손상되었을 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 인스턴스가 사용자 지정 위협 목록의 IP 주소에 연결하는 중입니다.

기본 심각도: 중간

이 결과는 AWS 환경의 EC2 인스턴스가 업로드한 위협 목록에 포함된 IP 주소와 통신하고 있음을 알려줍니다. GuardDuty에서 위험 목록은 알려진 악성 IP 주소로 이루어져 있습니다. GuardDuty에서는 업로드된 위협 목록을 기반으로 결과를 생성합니다. 이 결과를 생성하는 데 사용된 위협 목록은 결과의 세부 정보에 나열됩니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 인스턴스가 인스턴스 메타데이터 서비스로 확인되는 DNS 조회를 수행하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 EC2 메타데이터 IP 주소(169.254.169.254)로 확인되는 도메인을 쿼리하고 있음을 알려줍니다. 이러한 종류의 DNS 쿼리는 인스턴스가 DNS리바인딩 기술의 대상임을 나타낼 수 있습니다. 이 기법을 사용하여 EC2 인스턴스와 연결된 IAM 자격 증명을 포함하여 인스턴스에서 메타데이터를 가져올 수 있습니다.

DNS 리바인딩에는 EC2 인스턴스에서 실행되는 애플리케이션을 속여에서 반환 데이터를 로드하는 작업이 포함되며URL, 여기서의 도메인 이름은 EC2 메타데이터 IP 주소(169.254.169.254)로 URL 확인됩니다. 이렇게 하면 애플리케이션이 EC2 메타데이터에 액세스하여 공격자가 사용할 수 있게 됩니다.

DNS 리바인딩을 사용하여 EC2 메타데이터에 액세스하는 것은 EC2 인스턴스가를 삽입할 수 있는 취약한 애플리케이션을 실행 URLs중이거나 EC2 인스턴스에서 실행되는 웹 브라우저URL에서에 액세스하는 경우에만 가능합니다.

해결 권장 사항:

이 결과에 대한 응답으로 EC2 인스턴스에서 실행 중인 취약한 애플리케이션이 있는지 또는 누군가 브라우저를 사용하여 결과에 식별된 도메인에 액세스했는지 평가해야 합니다. 근본 원인이 취약한 애플리케이션인 경우, 취약성을 수정해야 합니다. 누군가 식별된 도메인을 검색한 경우 도메인을 차단하거나 사용자 액세스를 방지해야 합니다. 이 결과가 위의 두 경우 중 하나와 관련이 있다고 판단되면 EC2 인스턴스와 연결된 세션을 취소합니다.

일부 AWS 고객은 의도적으로 메타데이터 IP 주소를 신뢰할 수 있는 DNS 서버의 도메인 이름에 매핑합니다. 환경에서 이러한 경우 이 결과에 대한 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 UnauthorizedAccess:EC2/MetaDataDNSRebind 값을 사용해야 합니다. 두 번째 필터 기준은 DNS 요청 도메인이어야 하며 값은 메타데이터 IP 주소(169.254.169.254)에 매핑한 도메인과 일치해야 합니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 단원을 참조하십시오.

UnauthorizedAccess:EC2/RDPBruteForce

EC2 인스턴스가 무RDP차별 공격에 관여했습니다.

기본 심각도: 낮음*

이 조사 결과는 AWS 환경의 EC2 인스턴스가 Windows 기반 시스템의 RDP 서비스에 대한 암호를 얻기 위한 무차별 공격에 관여했음을 알려줍니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

인스턴스의 리소스 역할이 인 경우 ACTOR이는 인스턴스가 무RDP차별 포스 공격을 수행하는 데 사용되었음을 나타냅니다. 이 인스턴스가 Target으로 나열된 IP 주소에 접속해야 하는 정당한 이유가 없는 경우, 인스턴스가 손상되었다고 가정하고 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 섹션의 작업을 수행하는 것이 좋습니다.

인스턴스의 리소스 역할이 인 경우 보안 그룹TARGET, ACLs또는 방화벽을 IPs 통해서만 신뢰할 수 있는에 RDP포트를 보호하여이 결과를 수정할 수 있습니다. 자세한 내용은 EC2 인스턴스 보안을 위한 팁(Linux)을 참조하세요.

UnauthorizedAccess:EC2/SSHBruteForce

EC2 인스턴스가 무SSH차별 공격에 관여했습니다.

기본 심각도: 낮음*

이 조사 결과는 AWS 환경의 EC2 인스턴스가 Linux 기반 시스템의 SSH 서비스에 대한 암호를 얻기 위한 무차별 공격에 관여했음을 알려줍니다. 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

무차별 포스 시도의 대상이 Bastion Host인 경우 환경에 예상되는 동작을 나타낼 수 있습니다 AWS . 이 경우 이 결과에 대해 억제 규칙을 설정하는 것이 좋습니다. 억제 규칙은 두 개의 필터 기준으로 구성해야 합니다. 첫 번째 기준에는 Finding type(결과 유형) 속성과 UnauthorizedAccess:EC2/SSHBruteForce 값을 사용해야 합니다. 두 번째 필터 기준은 Bastion Host로 사용되는 인스턴스와 일치해야 합니다. 이러한 도구를 호스팅하는 인스턴스에서 식별 가능한 기준에 따라 인스턴스 이미지 ID 속성 또는 태그 값 속성을 사용할 수 있습니다. 억제 규칙 작성에 대한 자세한 내용은 의 억제 규칙 GuardDuty 섹션을 참조하세요.

환경에 대해이 활동이 예상되지 않고 인스턴스의 리소스 역할이 인 경우 보안 그룹TARGET, ACLs또는 방화벽을 IPs 통해서만 신뢰할 수 있는 SSH포트를 보호하여이 결과를 수정할 수 있습니다. 자세한 내용은 EC2 인스턴스 보안을 위한 팁(Linux)을 참조하세요.

인스턴스의 리소스 역할이 인 경우 ACTOR이는 인스턴스가 무SSH차별 포스 공격을 수행하는 데 사용되었음을 나타냅니다. 이 인스턴스가 Target으로 나열된 IP 주소에 접속해야 하는 정당한 이유가 없는 경우, 인스턴스가 손상되었다고 가정하고 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 섹션의 작업을 수행하는 것이 좋습니다.

UnauthorizedAccess:EC2/TorClient

EC2 인스턴스가 Tor Guard 또는 Authority 노드에 연결하는 중입니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 Tor Guard 또는 Authority 노드에 연결 중임을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor Guards 및 Authority 노드는 Tor 네트워크의 첫 번째 게이트웨이 역할을 합니다. 이 트래픽은이 EC2 인스턴스가 손상되었으며 Tor 네트워크에서 클라이언트 역할을 하고 있음을 나타낼 수 있습니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.

UnauthorizedAccess:EC2/TorRelay

EC2 인스턴스가 Tor 릴레이로 Tor 네트워크에 연결 중입니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 Tor 릴레이 역할을 하는 것을 암시하는 방식으로 Tor 네트워크에 연결하고 있음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, Tor는 한 Tor 릴레이에서 다른 릴레이로 클라이언트의 불법 가능성이 있는 트래픽을 전달함으로써 통신의 익명성을 높입니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 문제 해결 단원을 참조하십시오.