As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty EC2tipos de descoberta

As descobertas a seguir são específicas EC2 dos recursos da Amazon e sempre têm um tipo de recurso deInstance. A gravidade e os detalhes das descobertas diferem com base na função do recurso, que indica se o EC2 recurso foi alvo de atividade suspeita ou o ator que realizou a atividade.

As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações sobre modelos e fontes de dados, consulte GuardDuty fontes de dados fundamentais.

Para todas as EC2 descobertas, é recomendável que você examine o recurso em questão para determinar se ele está se comportando da maneira esperada. Se a atividade for autorizada, você poderá usar regras de supressão ou listas de IP confiáveis para evitar notificações de falsos positivos para esse recurso. Se a atividade for inesperada, a melhor prática de segurança será presumir que a instância foi comprometida e executar as ações detalhadas em Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/C&CActivity.B

Uma EC2 instância está consultando um IP associado a um servidor de comando e controle conhecido.

Gravidade padrão: alta

Essa descoberta informa que a instância listada em seu ambiente da AWS está consultando um IP associado a um servidor de comando e controle (C&C) conhecido. A instância listada pode estar comprometida. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet que podem incluir servidoresPCs, dispositivos móveis e dispositivos da Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque distribuído de negação de serviço (). DDoS

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/C&CActivity.B!DNS

Uma EC2 instância está consultando um nome de domínio associado a um servidor de comando e controle conhecido.

Gravidade padrão: alta

Essa descoberta informa que a instância listada em seu ambiente da AWS está consultando um nome de domínio associado a um servidor de comando e controle (C&C) conhecido. A instância listada pode estar comprometida. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet que podem incluir servidoresPCs, dispositivos móveis e dispositivos da Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque distribuído de negação de serviço (). DDoS

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/DenialOfService.Dns

Uma EC2 instância está se comportando de uma maneira que pode indicar que está sendo usada para realizar um ataque de negação de serviço (DoS) usando o DNS protocolo.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está gerando um grande volume de tráfego de saídaDNS. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o DNS protocolo.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/DenialOfService.Tcp

Uma EC2 instância está se comportando de uma maneira que indica que está sendo usada para realizar um ataque de negação de serviço (DoS) usando o TCP protocolo.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está gerando um grande volume de tráfego de saídaTCP. Isso pode indicar que a instância está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o TCP protocolo.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/DenialOfService.Udp

Uma EC2 instância está se comportando de uma maneira que indica que está sendo usada para realizar um ataque de negação de serviço (DoS) usando o UDP protocolo.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está gerando um grande volume de tráfego de saídaUDP. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o UDP protocolo.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Uma EC2 instância está se comportando de uma maneira que pode indicar que está sendo usada para realizar um ataque de negação de serviço (DoS) usando o UDP protocolo em uma TCP porta.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está gerando um grande volume de UDP tráfego de saída direcionado a uma porta que normalmente é usada para TCP comunicação. Isso pode indicar que a instância listada está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando o UDP protocolo em uma TCP porta.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/DenialOfService.UnusualProtocol

Uma EC2 instância está se comportando de uma maneira que pode indicar que está sendo usada para realizar um ataque de negação de serviço (DoS) usando um protocolo incomum.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está gerando um grande volume de tráfego de saída a partir de um tipo de protocolo incomum que normalmente não é usado por EC2 instâncias, como o Internet Group Management Protocol. Isso pode indicar que a instância está comprometida e está sendo usada para realizar ataques denial-of-service (DoS) usando um protocolo incomum. Essa descoberta detecta os ataques somente contra endereços IP publicamente roteáveis, que são alvos primários de ataques.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Backdoor:EC2/Spambot

Uma EC2 instância está exibindo um comportamento incomum ao se comunicar com um host remoto na porta 25.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está se comunicando com um host remoto na porta 25. Esse comportamento é incomum porque essa EC2 instância não tem histórico anterior de comunicações na porta 25. A porta 25 é tradicionalmente usada por servidores de e-mail para SMTP comunicações. Essa descoberta indica que sua EC2 instância pode estar comprometida para uso no envio de spam.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Behavior:EC2/NetworkPortUnusual

Uma EC2 instância está se comunicando com um host remoto em uma porta de servidor incomum.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está se comportando de uma forma que se desvia da linha de base estabelecida. Essa EC2 instância não tem histórico anterior de comunicações nessa porta remota.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Behavior:EC2/TrafficVolumeUnusual

Uma EC2 instância está gerando quantidades anormalmente grandes de tráfego de rede para um host remoto.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está se comportando de uma forma que se desvia da linha de base estabelecida. Essa EC2 instância não tem histórico anterior de enviar tanto tráfego para esse host remoto.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

CryptoCurrency:EC2/BitcoinTool.B

Uma EC2 instância está consultando um endereço IP associado a atividades relacionadas à criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está consultando um endereço IP associado ao Bitcoin ou a outra atividade relacionada à criptomoeda. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Recomendações de correção:

Se você usar essa EC2 instância para minerar ou gerenciar criptomoedas, ou se essa instância estiver envolvida na atividade do blockchain, essa descoberta pode ser uma atividade esperada para seu ambiente. Se esse for o caso em seu ambiente da AWS , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:EC2/BitcoinTool.B. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Uma EC2 instância está consultando um nome de domínio associado a atividades relacionadas à criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está consultando um nome de domínio associado ao Bitcoin ou a outra atividade relacionada à criptomoeda. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Recomendações de correção:

Se você usar essa EC2 instância para minerar ou gerenciar criptomoedas, ou se essa instância estiver envolvida na atividade do blockchain, essa descoberta pode ser uma atividade esperada para seu ambiente. Se esse for o caso em seu ambiente da AWS , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:EC2/BitcoinTool.B!DNS. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

DefenseEvasion:EC2/UnusualDNSResolver

Uma EC2 instância da Amazon está se comunicando com um DNS resolvedor público incomum.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está se comportando de uma forma que se desvia do comportamento básico. Essa EC2 instância não tem histórico recente de comunicação com esse DNS resolvedor público. O campo Incomum no painel de detalhes da descoberta no GuardDuty console pode fornecer informações sobre o DNS resolvedor consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

DefenseEvasion:EC2/UnusualDoHActivity

Uma EC2 instância da Amazon está realizando uma comunicação DNS via HTTPS (DoH) incomum.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está se comportando de uma forma que se desvia da linha de base estabelecida. Essa EC2 instância não tem nenhum histórico recente de comunicações DNS excessivas HTTPS (DoH) com esse servidor público do DoH. Nos detalhes da descoberta, o campo Incomum pode fornecer informações sobre o servidor DoH consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

DefenseEvasion:EC2/UnusualDoTActivity

Uma EC2 instância da Amazon está realizando uma comunicação DNS via TLS (DoT) incomum.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está se comportando de uma forma que se desvia da linha de base estabelecida. Essa EC2 instância não tem nenhum histórico recente de comunicações DNS excessivas TLS (DoT) com esse servidor público do DoT. No painel de detalhes da descoberta, o campo Incomum pode fornecer informações sobre o servidor DoT consultado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/AbusedDomainRequest.Reputation

Uma EC2 instância está consultando um nome de domínio de baixa reputação associado a domínios de uso abusivo conhecidos.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP abusados conhecidos. Exemplos de domínios abusados são nomes de domínio de primeiro nível (TLDs) e nomes de domínio de segundo nível (2LDs) que fornecem registros gratuitos de subdomínios, bem como provedores dinâmicos. DNS Os agentes de ameaças tendem a usar esses serviços para registrar domínios gratuitamente ou a baixo custo. Os domínios de baixa reputação nessa categoria também podem ser domínios expirados que se resolvem para o endereço IP estacionário de um registrador e, portanto, podem não estar mais ativas. Um IP de estacionamento é onde um registrador direciona o tráfego para domínios que não foram vinculados a nenhum serviço. A EC2 instância listada da Amazon pode estar comprometida, pois os agentes de ameaças geralmente usam esses registradores ou serviços para C&C e distribuição de malware.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/BitcoinDomainRequest.Reputation

Uma EC2 instância está consultando um nome de domínio de baixa reputação associado a atividades relacionadas à criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado ao Bitcoin ou a outra atividade relacionada à criptomoeda. O Bitcoin é uma criptomoeda mundial e um sistema de pagamento digital que pode ser trocado por outras moedas, produtos e serviços. O Bitcoin é uma recompensa pela mineração de bitcoins e é muito procurado por agentes de ameaças.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se você usar essa EC2 instância para minerar ou gerenciar criptomoedas, ou se essa instância estiver envolvida na atividade do blockchain, essa descoberta poderá representar a atividade esperada para seu ambiente. Se esse for o caso em seu ambiente da AWS , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Impact:EC2/BitcoinDomainRequest.Reputation. O segundo critério de filtro deve ser o ID de instância da instância envolvida na atividade de blockchain. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/MaliciousDomainRequest.Reputation

Uma EC2 instância está consultando um domínio de baixa reputação associado a domínios maliciosos conhecidos.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP maliciosos conhecidos. Por exemplo, os domínios podem estar associados a um endereço IP sumidouro conhecido. Domínios sinkholed são domínios que antes eram controlados por um agente de ameaças, e as solicitações feitas a eles podem indicar que a instância está comprometida. Esses domínios também podem estar correlacionados com campanhas mal-intencionadas conhecidas ou algoritmos de geração de domínio.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/PortSweep

Uma EC2 instância está testando uma porta em um grande número de endereços IP.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está investigando uma porta em um grande número de endereços IP roteáveis publicamente. Esse tipo de atividade geralmente é usado para encontrar hospedeiros vulneráveis para serem explorados. No painel de detalhes de busca em seu GuardDuty console, somente o endereço IP remoto mais recente é exibido

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/SuspiciousDomainRequest.Reputation

Uma EC2 instância está consultando um nome de domínio de baixa reputação que é suspeito por natureza devido à sua idade ou baixa popularidade.

Gravidade padrão: baixa

Essa descoberta informa que a EC2 instância da Amazon listada em seu AWS ambiente está consultando um nome de domínio de baixa reputação que é suspeito de ser malicioso. Percebi características desse domínio que eram consistentes com domínios maliciosos observados anteriormente, no entanto, nosso modelo de reputação não conseguiu relacioná-lo definitivamente a uma ameaça conhecida. Esses domínios geralmente são observados recentemente ou recebem uma quantidade baixa de tráfego.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Impact:EC2/WinRMBruteForce

Uma EC2 instância está executando um ataque de força bruta de saída do Gerenciamento Remoto do Windows.

Gravidade padrão: baixa*

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está executando um ataque de força bruta do Gerenciamento Remoto do Windows (WinRM) com o objetivo de obter acesso ao serviço de Gerenciamento Remoto do Windows em sistemas baseados em Windows.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Recon:EC2/PortProbeEMRUnprotectedPort

Uma EC2 instância tem uma porta EMR relacionada desprotegida que está sendo investigada por um host mal-intencionado conhecido.

Gravidade padrão: alta

Essa descoberta informa que uma porta confidencial EMR relacionada na EC2 instância listada que faz parte de um cluster em seu AWS ambiente não está bloqueada por um grupo de segurança, uma lista de controle de acesso (ACL) ou um firewall no host, como o Linux. IPTables Essa descoberta também informa que scanners conhecidos na Internet estão investigando ativamente essa porta. Portas que podem acionar essa descoberta, como a porta 8088 (porta de interface de usuário YARN da Web), poderiam ser usadas para execução remota de código.

Recomendações de correção:

Você deve bloquear o acesso a portas abertas nos clusters pela Internet e restringir o acesso apenas a endereços IP específicos que exigem acesso a essas portas. Para obter mais informações, consulte Grupos de segurança para EMR clusters.

Recon:EC2/PortProbeUnprotectedPort

Uma EC2 instância tem uma porta desprotegida que está sendo investigada por um host mal-intencionado conhecido.

Gravidade padrão: baixa*

Essa descoberta informa que uma porta na EC2 instância listada em seu AWS ambiente não está bloqueada por um grupo de segurança, lista de controle de acesso (ACL) ou um firewall no host, como o LinuxIPTables, e que scanners conhecidos na Internet a estão investigando ativamente.

Se a porta desprotegida identificada for 22 ou 3389 e você estiver usando essas portas para se conectar à instância, ainda será possível limitar a exposição permitindo o acesso a essas portas somente aos endereços IP do espaço de endereços IP da rede corporativa. Para restringir o acesso à porta 22 no Linux, consulte Autorizar o tráfego de entrada para suas instâncias do Linux. Para restringir o acesso à porta 3389 no Windows, consulte Autorizar o tráfego de entrada para suas instâncias do Windows.

GuardDuty não gera essa descoberta para as portas 443 e 80.

Recomendações de correção:

Pode haver casos em que instâncias são intencionalmente expostas, por exemplo, se estão hospedando servidores web. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/PortProbeUnprotectedPort. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Recon:EC2/Portscan

Uma EC2 instância está realizando varreduras de portas de saída para um host remoto.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está envolvida em um possível ataque de verificação de portas porque está tentando se conectar a várias portas em um curto período de tempo. O objetivo de um ataque de verificação de porta é localizar portas abertas para descobrir quais serviços a máquina está executando e identificar o sistema operacional dela.

Recomendações de correção:

Essa descoberta pode ser um falso positivo quando aplicativos de avaliação de vulnerabilidade são implantados em EC2 instâncias em seu ambiente, pois esses aplicativos realizam varreduras de portas para alertá-lo sobre portas abertas mal configuradas. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Recon:EC2/Portscan. O segundo critério de filtro deve corresponder à instância ou às instâncias que hospedam essas ferramentas de avaliação de vulnerabilidade. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, sua instância provavelmente está comprometida. Consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/BlackholeTraffic

Uma EC2 instância está tentando se comunicar com um endereço IP de um host remoto que é um buraco negro conhecido.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente pode estar comprometida porque está tentando se comunicar com o endereço IP de um buraco negro (ou sumidouro). Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido. Um endereço IP de buraco negro especifica uma máquina host que não está sendo executada ou um endereço para o qual nenhum host foi atribuído.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/BlackholeTraffic!DNS

Uma EC2 instância está consultando um nome de domínio que está sendo redirecionado para um endereço IP de buraco negro.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente pode estar comprometida porque está consultando um nome de domínio que está sendo redirecionado para um endereço IP de buraco negro. Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DGADomainRequest.B

Uma EC2 instância está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser uma indicação de uma instância comprometida. EC2

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está tentando consultar domínios do algoritmo de geração de domínio (DGA). Sua EC2 instância pode estar comprometida.

DGAssão usados para gerar periodicamente um grande número de nomes de domínio que podem ser usados como pontos de encontro com seus servidores de comando e controle (C&C). Os servidores de comando e controle são computadores que emitem comandos para membros de um botnet, ou seja, uma coleção de dispositivos conectados à Internet infectados e controlados por um tipo comum de malware. O grande número de pontos de encontro potenciais dificulta o encerramento efetivo dos botnets, uma vez que os computadores infectados tentam entrar em contato com alguns desses nomes de domínio todos os dias para receber atualizações ou comandos.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DGADomainRequest.C!DNS

Uma EC2 instância está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser uma indicação de uma instância comprometida. EC2

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está tentando consultar domínios do algoritmo de geração de domínio (DGA). Sua EC2 instância pode estar comprometida.

DGAssão usados para gerar periodicamente um grande número de nomes de domínio que podem ser usados como pontos de encontro com seus servidores de comando e controle (C&C). Os servidores de comando e controle são computadores que emitem comandos para membros de um botnet, ou seja, uma coleção de dispositivos conectados à Internet infectados e controlados por um tipo comum de malware. O grande número de pontos de encontro potenciais dificulta o encerramento efetivo dos botnets, uma vez que os computadores infectados tentam entrar em contato com alguns desses nomes de domínio todos os dias para receber atualizações ou comandos.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DNSDataExfiltration

Uma EC2 instância está extraindo dados por meio DNS de consultas.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente está executando um malware que usa DNS consultas para transferências de dados de saída. Esse tipo de transferência de dados é indicativo de uma instância comprometida e pode resultar na exfiltração de dados. DNSo tráfego normalmente não é bloqueado por firewalls. Por exemplo, o malware em uma EC2 instância comprometida pode codificar dados (como o número do seu cartão de crédito) em uma DNS consulta e enviá-la para um DNS servidor remoto controlado por um invasor.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DriveBySourceTraffic!DNS

Uma EC2 instância está consultando o nome de domínio de um host remoto que é uma fonte conhecida de ataques de download do Drive-By.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada em seu AWS ambiente pode estar comprometida porque está consultando o nome de domínio de um host remoto que é uma fonte conhecida de ataques de download drive-by. Estes são downloads indesejados de software de computador da Internet que podem acionar uma instalação automática de vírus, spyware ou malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DropPoint

Uma EC2 instância está tentando se comunicar com um endereço IP de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está tentando se comunicar com um endereço IP de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/DropPoint!DNS

Uma EC2 instância está consultando o nome de domínio de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está consultando o nome de domínio de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

Trojan:EC2/PhishingDomainRequest!DNS

Uma EC2 instância está consultando domínios envolvidos em ataques de phishing. Sua EC2 instância pode estar comprometida.

Gravidade padrão: alta

Essa descoberta informa que há uma EC2 instância em seu AWS ambiente que está tentando consultar um domínio envolvido em ataques de phishing. Domínios de phishing são configuradas por alguém se passando por uma instituição legítima para induzir indivíduos a fornecerem dados confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito, e senhas. Sua EC2 instância pode estar tentando recuperar dados confidenciais armazenados em um site de phishing ou pode estar tentando configurar um site de phishing. Sua EC2 instância pode estar comprometida.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Uma EC2 instância está fazendo conexões com um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está se comunicando com um endereço IP incluído em uma lista de ameaças que você enviou. Em GuardDuty, uma lista de ameaças consiste em endereços IP maliciosos conhecidos. GuardDutygera descobertas com base nas listas de ameaças enviadas. A lista de ameaças usada para gerar essa descoberta será listada nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

UnauthorizedAccess:EC2/MetadataDNSRebind

Uma EC2 instância está realizando DNS pesquisas que resolvem o serviço de metadados da instância.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está consultando um domínio que resolve para o endereço IP dos EC2 metadados (169.254.169.254). Uma DNS consulta desse tipo pode indicar que a instância é alvo de uma técnica de DNS revinculação. Essa técnica pode ser usada para obter metadados de uma EC2 instância, incluindo IAM as credenciais associadas à instância.

DNSa revinculação envolve enganar um aplicativo em execução na EC2 instância para carregar dados de retorno de aURL, em que o nome de domínio é URL resolvido para o endereço IP dos EC2 metadados (169.254.169.254). Isso faz com que o aplicativo acesse EC2 os metadados e, possivelmente, os disponibilize para o invasor.

É possível acessar EC2 metadados usando a DNS revinculação somente se a EC2 instância estiver executando um aplicativo vulnerável que permita a injeção deURLs, ou se alguém os acessar URL em um navegador da Web em execução na instância. EC2

Recomendações de correção:

Em resposta a essa descoberta, você deve avaliar se há um aplicativo vulnerável em execução na EC2 instância ou se alguém usou um navegador para acessar o domínio identificado na descoberta. Se a causa raiz for um aplicativo vulnerável, você deverá corrigir a vulnerabilidade. Se alguém navegou pelo domínio identificado, você deve bloquear o domínio ou evitar que os usuários o acessem. Se você determinar que essa descoberta estava relacionada a um dos casos acima, revogue a sessão associada à EC2 instância.

Alguns AWS clientes mapeiam intencionalmente o endereço IP dos metadados para um nome de domínio em seus servidores autorizadosDNS. Se esse for o caso em seu ambiente da , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/MetaDataDNSRebind. O segundo critério de filtro deve ser o domínio de DNS solicitação e o valor deve corresponder ao domínio que você mapeou para o endereço IP dos metadados (169.254.169.254). Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão em GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Uma EC2 instância foi envolvida em ataques de força RDP bruta.

Gravidade padrão: baixa*

Essa descoberta informa que uma EC2 instância em seu AWS ambiente estava envolvida em um ataque de força bruta com o objetivo de obter senhas para RDP serviços em sistemas baseados em Windows. Isso pode indicar acesso não autorizado aos seus recursos da AWS .

Recomendações de correção:

Se a função de recurso da sua instância forACTOR, isso indica que sua instância foi usada para realizar ataques de força RDP bruta. A menos que essa instância tenha um motivo legítimo para entrar em contato com o endereço IP listado como o Target, é recomendável que você presuma que a instância foi comprometida e execute as ações listadas em Correção de uma instância da Amazon potencialmente comprometida EC2.

Se a função de recurso da sua instância forTARGET, essa descoberta poderá ser corrigida protegendo sua RDP porta apenas como confiável IPs por meio de grupos de segurança ou ACLs firewalls. Para obter mais informações, consulte Dicas para proteger suas EC2 instâncias (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Uma EC2 instância foi envolvida em ataques de força SSH bruta.

Gravidade padrão: baixa*

Essa descoberta informa que uma EC2 instância em seu AWS ambiente estava envolvida em um ataque de força bruta com o objetivo de obter senhas para SSH serviços em sistemas baseados em Linux. Isso pode indicar acesso não autorizado aos seus recursos da AWS .

Recomendações de correção:

Se o alvo da tentativa de força bruta for um hospedeiro de bastião, isso pode representar o comportamento esperado para seu AWS ambiente. Se for esse o caso, recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:EC2/SSHBruteForce. O segundo critério de filtro deve corresponder à instância ou às instâncias que servem como um bastion host. É possível usar o atributo ID da imagem da instância ou o atributo de valor da Tag dependendo de quais critérios forem identificáveis com as instâncias que hospedam essas ferramentas. Para obter mais informações sobre como criar regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade não for esperada para seu ambiente e a função de recurso de sua instância forTARGET, essa descoberta poderá ser corrigida protegendo sua SSH porta apenas como confiável por IPs meio de grupos de segurança ou ACLs firewalls. Para obter mais informações, consulte Dicas para proteger suas EC2 instâncias (Linux).

Se a função de recurso da sua instância forACTOR, isso indica que a instância foi usada para realizar ataques de força SSH bruta. A menos que essa instância tenha um motivo legítimo para entrar em contato com o endereço IP listado como o Target, é recomendável que você presuma que a instância foi comprometida e execute as ações listadas em Correção de uma instância da Amazon potencialmente comprometida EC2.

UnauthorizedAccess:EC2/TorClient

Sua EC2 instância está fazendo conexões com um Tor Guard ou um nó de Autoridade.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está fazendo conexões com um Tor Guard ou um nó de Autoridade. Tor é um software para permitir a comunicação anônima. Tor Guards ou nós de autoridade atuam como gateways iniciais em uma rede do Tor. Esse tráfego pode indicar que essa EC2 instância foi comprometida e está atuando como cliente em uma rede Tor. Essa descoberta pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.

UnauthorizedAccess:EC2/TorRelay

Sua EC2 instância está fazendo conexões com uma rede Tor como um retransmissor Tor.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância em seu AWS ambiente está fazendo conexões com uma rede Tor de uma maneira que sugere que ela está agindo como um retransmissor Tor. Tor é um software para permitir a comunicação anônima. Retransmissões Tor aumentam o anonimato da comunicação encaminhando o tráfego possivelmente ilícito do cliente de uma retransmissão Tor para outra.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.