기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용 중지된 결과 유형

조사 결과는 에서 GuardDuty 발견한 잠재적 보안 문제에 대한 세부 정보가 포함된 알림입니다. 새로 추가되거나 사용 중지된 GuardDuty 결과 유형을 포함하여 결과 유형의 중요한 변경 사항에 대한 자세한 내용은 섹션을 참조하세요Amazon의 문서 기록 GuardDuty.

다음 결과 유형은 사용 중지되며 더 이상 에서 생성되지 않습니다 GuardDuty.

Exfiltration:S3/ObjectRead.Unusual

한 IAM 엔터티가 의심스러운 API 방식으로 S3를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 IAM엔터티가 S3 버킷과 관련이 있고 해당 엔터티의 설정된 기준과 다른 API 전화를 걸고 있음을 알려줍니다. 이 활동에 사용되는 API 호출은 공격의 유출 단계와 연결되며, 여기서 공격자는 데이터를 수집하려고 시도합니다. 이 활동은 IAM 개체가 를 호출한 방식이 비정상적API이기 때문에 의심스럽습니다. 예를 들어 이 IAM 엔터티는 이전에 이 유형의 를 호출한 이력API이 없거나 비정상적인 위치에서 가 호출API되었습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Impact:S3/PermissionsModification.Unusual

IAM 엔터티가 를 호출API하여 하나 이상의 S3 리소스에 대한 권한을 수정했습니다.

기본 심각도: 중간*

이 결과는 IAM엔터티가 환경 AWS 의 하나 이상의 버킷 또는 객체에 대한 권한을 수정하도록 설계된 API 전화를 걸고 있음을 알려줍니다. 공격자가 계정 외부에서 정보가 공유되도록 이 작업을 수행할 수 있습니다. 이 활동은 IAM 개체가 를 호출한 방식이 비정상적API이었기 때문에 의심스럽습니다. 예를 들어 이 IAM 엔터티는 이전에 이 유형의 를 호출한 이력API이 없거나 비정상적인 위치에서 API 가 호출되었습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Impact:S3/ObjectDelete.Unusual

한 IAM 엔터티가 S3 버킷에서 데이터를 삭제하는 데 API 사용되는 를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 IAM엔터티가 버킷 자체를 삭제하여 나열된 S3 버킷의 데이터를 삭제하도록 설계된 API 호출을 하고 있음을 알려줍니다. 이 활동은 IAM 개체가 를 호출한 방식이 비정상적API이었기 때문에 의심스럽습니다. 예를 들어 이 IAM 엔터티는 이전에 이 유형의 를 호출한 이력API이 없거나 비정상적인 위치에서 API 가 호출되었습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Discovery:S3/BucketEnumeration.Unusual

IAM 엔터티가 네트워크 내에서 S3 버킷을 검색하는 데 API 사용되는 S3를 호출했습니다.

기본 심각도: 중간*

이 결과는 IAM엔터티가 와 같은 환경에서 S3 버킷을 검색API하기 위해 S3를 호출했음을 알려줍니다ListBuckets. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 관련이 있습니다. 이 활동은 IAM 개체가 를 호출한 방식이 비정상적API이기 때문에 의심스럽습니다. 예를 들어 이 IAM 엔터티는 이전에 이 유형의 를 호출한 이력API이 없거나 비정상적인 위치에서 가 호출API되었습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Persistence:IAMUser/NetworkPermissions

IAM 엔터티는 보안 그룹, 경로 및 AWS 계정의 네트워크 액세스 권한을 변경하는 데 API 일반적으로 사용되는 ACLs를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이 를 호출한 이전 이력이 없습니다API.

이 결과는 보안 주체가 이전에 호출한 이력CreateSecurityGroupAPI이 없는 를 호출하는 등 의심스러운 상황에서 네트워크 구성 설정이 변경될 때 트리거됩니다. 공격자는 다양한 포트의 특정 인바운드 트래픽이 EC2 인스턴스에 액세스할 수 있는 기능을 개선하도록 보안 그룹을 변경하려고 시도하는 경우가 많습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Persistence:IAMUser/ResourcePermissions

보안 주체는 에서 다양한 리소스의 보안 액세스 정책을 변경하는 데 API 일반적으로 사용되는 를 호출했습니다 AWS 계정.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이 를 호출한 이전 이력이 없습니다API.

이 결과는 AWS 환경의 보안 주체가 이전에 변경 이력PutBucketPolicyAPI이 없는 를 호출하는 경우와 같이 AWS 리소스에 연결된 정책 또는 권한에 대한 변경이 감지될 때 트리거됩니다. 예를 들어 Amazon S3와 같은 일부 서비스는 하나 이상의 보안 주체에 리소스 액세스를 허용하는 리소스 연결 권한을 지원합니다. 보안 인증 정보가 도난당한 상태에서 공격자는 리소스에 연결된 정책을 변경하여 리소스에 대한 액세스를 획득할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Persistence:IAMUser/UserPermissions

보안 주체는 AWS 계정의 IAM 사용자, 그룹 또는 정책을 추가, 수정 또는 삭제하는 데 API 일반적으로 사용되는 를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이 를 호출한 이전 이력이 없습니다API.

이 결과는 AWS 환경의 보안 주체가 이전 이력 AttachUserPolicy API 없이 를 호출하는 경우와 같이 환경의 사용자 관련 권한에 AWS 대한 의심스러운 변경으로 인해 트리거됩니다. 공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정 소유자는 특정 IAM 사용자 또는 암호가 도난당한 것을 발견하여 계정에서 삭제할 수 있습니다. 그러나 사기로 생성된 관리자 보안 주체가 생성한 다른 사용자는 삭제하지 않아 공격자가 자신의 AWS 계정에 액세스할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

PrivilegeEscalation:IAMUser/AdministrativePermissions

한 보안 주체가 본인에게 과도하게 허용적인 정책을 할당하려고 시도했습니다.

기본 심각도: 낮음*

이 결과는 AWS 환경의 특정 IAM엔터티가 권한 에스컬레이션 공격을 나타낼 수 있는 동작을 나타내고 있음을 나타냅니다. 이 결과는 IAM 사용자 또는 역할이 매우 허용 가능한 정책을 자신에게 할당하려고 할 때 트리거됩니다. 해당 사용자 또는 역할이 관리 권한을 보유해야 하는 경우가 아니라면 이는 사용자의 자격 증명이 손상되었거나 역할의 권한이 적절히 구성되지 않았음을 나타냅니다.

공격자는 기존 액세스 지점이 폐쇄된 경우에도 훔친 보안 인증 정보를 사용하여 새 사용자를 만들거나, 기존 사용자에게 액세스 정책을 추가하거나, 액세스 키를 만들어 계정에 대한 액세스를 극대화할 수 있습니다. 예를 들어 계정 소유자는 특정 IAM 사용자의 로그인 보안 인증 정보가 도난당하여 계정에서 삭제되었지만 사기로 생성된 관리자 보안 주체가 생성한 다른 사용자를 삭제하지 않아 공격자가 계정에 계속 액세스할 수 있는 상태로 둘 수 있습니다 AWS .

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Recon:IAMUser/NetworkPermissions

보안 주체는 보안 그룹, 경로 및 AWS 계정의 네트워크 액세스 권한을 변경하는 데 API 일반적으로 사용되는 ACLs를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이 를 호출한 이전 이력이 없습니다API.

의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 이력DescribeInstancesAPI이 없는 를 호출한 경우를 예로 들 수 있습니다. 공격자는 훔친 보안 인증 정보를 사용하여 더 중요한 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Recon:IAMUser/ResourcePermissions

보안 주체는 AWS 계정에서 다양한 리소스의 보안 액세스 정책을 변경하는 데 API 일반적으로 사용되는 를 호출했습니다.

기본 심각도: 중간*

이 결과는 AWS 환경의 특정 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 사용자)가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이 를 호출한 이전 이력이 없습니다API.

의심스러운 상황에서 AWS 계정의 리소스 액세스 권한이 탐색될 때 결과가 트리거됩니다. 예를 들어 보안 주체가 이전에 호출한 이력DescribeInstancesAPI이 없는 를 호출한 경우를 예로 들 수 있습니다. 공격자는 훔친 보안 인증 정보를 사용하여 더 중요한 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Recon:IAMUser/UserPermissions

보안 주체는 AWS 계정의 IAM 사용자, 그룹 또는 정책을 추가, 수정 또는 삭제하는 데 API 일반적으로 사용되는 를 호출했습니다.

기본 심각도: 중간*

이 결과는 의심스러운 상황에서 AWS 환경의 사용자 권한을 조사할 때 트리거됩니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 호출한 이력ListInstanceProfilesForRoleAPI이 없는 를 호출한 경우를 예로 들 수 있습니다. 공격자는 훔친 보안 인증 정보를 사용하여 더 중요한 보안 인증 정보를 찾거나 이미 보유한 보안 인증 정보의 기능을 확인하기 위해 이러한 유형의 AWS 리소스 정찰을 수행할 수 있습니다.

이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 이 보안 주체는 이러한 API 방식으로 이를 호출한 이전 이력이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

ResourceConsumption:IAMUser/ComputeResources

보안 주체는 인스턴스와 같은 컴퓨팅 리소스를 시작하는 데 API 일반적으로 사용되는 EC2를 호출했습니다.

기본 심각도: 중간*

이 결과는 의심스러운 상황에서 AWS 환경 내 나열된 계정의 EC2 인스턴스가 시작될 때 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 나타내고 있음을 나타냅니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 호출한 이력 RunInstances API 없이 를 호출한 경우입니다. 공격자가 도난당한 자격 증명을 사용하여 컴퓨팅 시간을 훔치는 신호일 수 있습니다(암호 화폐 마이닝 또는 암호 크래킹이 목적일 수 있음). 또한 공격자가 AWS 환경의 EC2 인스턴스와 보안 인증 정보를 사용하여 계정에 대한 액세스를 유지함을 나타낼 수도 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

Stealth:IAMUser/LoggingConfigurationModified

보안 주체는 CloudTrail 로깅을 중지하고, 기존 로그를 삭제하고, AWS 계정의 활동 추적을 제거하는 데 API 일반적으로 사용되는 를 호출했습니다.

기본 심각도: 중간*

이 결과는 의심스러운 상황에서 환경 내 AWS 계정의 로깅 구성이 수정될 때 트리거됩니다. 이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 나타내고 있음을 알려줍니다. 예를 들어 보안 주체(AWS 계정 루트 사용자, IAM 역할 또는 IAM 사용자)가 이전에 호출한 이력 StopLogging API 없이 를 호출한 경우입니다. 이는 공격자가 활동 흔적을 제거함으로써 공격을 덮으려는 시도의 신호일 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

UnauthorizedAccess:IAMUser/ConsoleLogin

AWS 계정의 보안 주체에 의한 비정상적인 콘솔 로그인이 관찰되었습니다.

기본 심각도: 중간*

의심스러운 상황에서 콘솔 로그인이 감지될 때 이 결과가 트리거됩니다. 예를 들어, 이전 이력이 없는 보안 주체가 클라이언트 또는 비정상적인 위치에서 를 호출한 ConsoleLogin API never-before-used 경우 이는 훔친 보안 인증 정보가 AWS 계정에 액세스하기 위해 사용되거나, 유효하지 않거나 덜 안전한 방식으로 계정에 액세스하는 유효한 사용자(예: 승인된 를 통하지 않음)를 나타내는 것일 수 있습니다VPN.

이 결과는 AWS 환경의 특정 보안 주체가 설정된 기준과 다른 동작을 나타내고 있음을 알려줍니다. 이 보안 주체는 이 특정 위치에서 이 클라이언트 애플리케이션을 사용하여 로그인 활동을 한 이전 내역이 없습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

UnauthorizedAccess:EC2/TorIPCaller

EC2 인스턴스가 Tor 종료 노드에서 인바운드 연결을 수신하고 있습니다.

기본 심각도: 중간

이 결과는 AWS 환경의 EC2 인스턴스가 Tor 종료 노드에서 인바운드 연결을 수신하고 있음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 수정 단원을 참조하십시오.

Backdoor:EC2/XORDDOS

EC2 인스턴스가 XORDDoS맬웨어와 연결된 IP 주소와 통신을 시도하고 있습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 XORDDoS맬웨어와 연결된 IP 주소와 통신을 시도하고 있음을 알려줍니다. 이 EC2 인스턴스가 손상될 수 있습니다. XOR DDoS 는 Linux 시스템을 하이잭하는 트로이 목마 맬웨어입니다. 시스템에 액세스하기 위해 무차별 포스 공격을 시작하여 Linux의 Secure Shell(SSH) 서비스에 대한 암호를 검색합니다. SSH 자격 증명을 획득하고 로그인에 성공하면 루트 사용자 권한을 사용하여 를 다운로드하고 설치하는 스크립트를 실행합니다XORDDoS. 그런 다음 이 맬웨어를 봇넷의 일부로 사용하여 다른 대상에 대한 분산 서비스 거부(DDoS) 공격을 시작합니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 수정 단원을 참조하십시오.

Behavior:IAMUser/InstanceLaunchUnusual

사용자가 비정상적인 유형의 EC2 인스턴스를 시작했습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 특정 사용자가 설정된 기준과 다른 동작을 나타내고 있음을 알려줍니다. 이 사용자는 이전에 이 유형의 EC2 인스턴스를 시작한 이력이 없습니다. 로그인 보안 인증 정보가 손상되었을 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.

CryptoCurrency:EC2/BitcoinTool.A

EC2 인스턴스가 Bitcoin 마이닝 풀과 통신 중입니다.

기본 심각도: 높음

이 결과는 AWS 환경의 EC2 인스턴스가 Bitcoin 채굴 풀과 통신하고 있음을 알려줍니다. 암호 화폐 마이닝 분야에서 마이닝 도구는 블록 해결에 기여한 작업량에 따라 보상을 분할하기 위해 네트워크를 통해 처리 능력을 공유하는 마이너별 리소스 풀링입니다. Bitcoin 채굴에 이 EC2 인스턴스를 사용하지 않으면 EC2 인스턴스가 손상될 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 인스턴스가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 Amazon EC2 인스턴스 수정 단원을 참조하십시오.

UnauthorizedAccess:IAMUser/UnusualASNCaller

비정상적인 네트워크의 IP 주소에서 가 호출API되었습니다.

기본 심각도: 높음

이 조사 결과는 특정 활동이 비정상적인 네트워크의 IP 주소에서 호출되었다고 사용자에게 알립니다. 이 네트워크는 해당 사용자의 이전 AWS 사용 내역을 통해 관찰된 적이 없습니다. 이 활동에는 콘솔 로그인, EC2 인스턴스 시작 시도, 새 IAM 사용자 생성, 권한 수정 등이 포함될 수 있습니다 AWS . 이는 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

이 활동이 예기치 않게 발생한 경우 보안 인증 정보가 손상되었을 수 있습니다. 자세한 내용은 잠재적으로 손상된 AWS 보안 인증 정보 수정 단원을 참조하십시오.