本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon GuardDuty 會產生下列執行期監控調查結果,根據來自 Amazon EKS 叢集、Fargate 和 Amazon ECS 工作負載和 Amazon EC2 執行個體中 Amazon EC2 主機和容器的作業系統層級行為,指出潛在威脅。
注意
執行期監控調查結果類型以從主機收集的執行期記錄為基礎。日誌包含可能由惡意執行者控制的檔案路徑等欄位。這些欄位也包含在 GuardDuty 調查結果中,以提供執行期內容。在 GuardDuty 主控台之外處理執行期監控調查結果時,您必須清理調查結果欄位。例如,在網頁上顯示調查結果欄位時,您可以進行 HTML 編碼。
主題
CryptoCurrency:Runtime/BitcoinTool.B
Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的 IP 地址。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的 IP 地址。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者進行兩者中以其他方式參與區塊鏈活動的行為,則此 CryptoCurrency:Runtime/BitcoinTool.B 調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 CryptoCurrency:Runtime/BitcoinTool.B。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Backdoor:Runtime/C&CActivity.B
Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的 IP。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知命令和控管 (C&C) 伺服器相關聯的 IP。列出的執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
注意
如果查詢的 IP 與 log4J 相關,則相關調查結果的欄位將包含下列值:
-
service.additionalInfo.threatListName = Amazon -
service.additionalInfo.threatName = Log4j Related
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
UnauthorizedAccess:Runtime/TorRelay
您的 Amazon EC2 執行個體或容器正在連線至 Tor 網路作為 Tor 轉送。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您, AWS 您環境中的 EC2 執行個體或容器正在以建議其做為 Tor 轉送的方式連線到 Tor 網路。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊,做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
UnauthorizedAccess:Runtime/TorClient
您的 Amazon EC2 執行個體或容器正在連線到 Tor Guard 或 Authority 節點。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您環境中的 EC2 執行個體或容器 AWS 正在與 Tor Guard 或 Authority 節點建立連線。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量表示此 EC2 執行個體或容器可能已遭入侵,且作為 Tor 網路中的用戶端。此調查結果可能表示未經授權存取您的 AWS 資源,意圖是隱藏攻擊者的真實身分。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/BlackholeTraffic
Amazon EC2 執行個體或容器正在嘗試與已知是黑洞的遠端主機 IP 地址進行通訊。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您列出的 EC2 執行個體或 AWS 環境中的容器可能遭到入侵,因為它嘗試與黑洞 (或深洞) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機,或未分配主機的地址。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/DropPoint
Amazon EC2 執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊,該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊,該遠端主機已知會保存登入資料和惡意軟體擷取的其他遭竊資料。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
CryptoCurrency:Runtime/BitcoinTool.B!DNS
Amazon EC2 執行個體或容器正在查詢與加密貨幣活動有關聯的網域名稱。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與比特幣或其他加密貨幣相關活動有關聯的網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者進行兩者中以其他方式參與區塊鏈活動的行為,則此 CryptoCurrency:Runtime/BitcoinTool.B!DNS 調查結果可能是您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 CryptoCurrency:Runtime/BitcoinTool.B!DNS。第二個篩選條件應該是加密貨幣或區塊鏈活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Backdoor:Runtime/C&CActivity.B!DNS
Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的網域名稱。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知命令和控管 (C&C) 伺服器相關聯的網域名稱。列出的 EC2 執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
注意
如果查詢的網域名稱與 log4J 相關,則相關調查結果的欄位將包含下列值:
-
service.additionalInfo.threatListName = Amazon -
service.additionalInfo.threatName = Log4j Related
注意
若要測試 GuardDuty 如何產生此調查結果類型,您可以從執行個體對測試網域 guarddutyc2activityb.com 發出 DNS 請求 (針對 Linux 使用 dig,或針對 Windows 使用 nslookup)。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/BlackholeTraffic!DNS
Amazon EC2 執行個體或容器正在查詢重新導向到黑洞 IP 地址的網域名稱。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器可能已遭入侵,因為它正在查詢被重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/DropPoint!DNS
Amazon EC2 執行個體或容器正在查詢遠端主機的網域名稱,該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體或容器正在查詢遠端主機的網域名稱,已知該主機會保存登入資料和惡意軟體擷取的其他遭竊資料。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/DGADomainRequest.C!DNS
Amazon EC2 執行個體或容器正在查詢演算法產生的網域。惡意軟體常用這種網域,且這可以視為 EC2 執行個體或容器已遭入侵的跡象。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在嘗試查詢網域產生演算法 (DGA) 網域。您的資源可能已遭入侵。
DGA 可用來定期產生大量網域名稱,這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。
注意
此調查結果根據來自 GuardDuty 的威脅情報饋送的已知 DGA 網域產生。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/DriveBySourceTraffic!DNS
Amazon EC2 執行個體或容器正在查詢已知是 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器可能已遭入侵,因為它正在查詢已知是 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。這些是從網際網路上意外下載的電腦軟體,它們可以啟動病毒、間諜軟體或惡意軟體的自動安裝。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Trojan:Runtime/PhishingDomainRequest!DNS
Amazon EC2 執行個體或容器正在查詢遭釣魚攻擊的網域。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,在 AWS 環境中有一個 EC2 執行個體或容器正在嘗試查詢遭釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立,以誘使個人提供敏感資料,如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的 EC2 執行個體或容器可能試圖擷取儲存在釣魚網站上的敏感資料,或者嘗試設定網路釣魚網站。您的 EC2 執行個體或容器可能已遭入侵。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Impact:Runtime/AbusedDomainRequest.Reputation
Amazon EC2 執行個體或容器正在查詢與已知的濫用網域相關聯的低信譽網域名稱。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知的濫用網域或 IP 地址相關聯的低信譽網域名稱。濫用網域的範例包括頂層網域名稱 (TLD) 和第二層網域名稱 (2LD),提供免費的子網域註冊,以及動態 DNS 提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域,因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2 執行個體或容器可能已遭入侵,因為威脅執行者通常使用這些註冊機構或服務進行 C&C 和惡意軟體分發。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Impact:Runtime/BitcoinDomainRequest.Reputation
Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的低信譽網域名稱。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與比特幣或其他加密貨幣相關活動有關聯的低信譽網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者如果這些資源以其他方式參與區塊鏈活動的行為,則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 Impact:Runtime/BitcoinDomainRequest.Reputation。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Impact:Runtime/MaliciousDomainRequest.Reputation
Amazon EC2 執行個體或容器正在查詢與已知惡意網域相關聯的低信譽網域名稱。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體或容器正在查詢與已知惡意網域或 IP 地址相關聯的低信譽網域名稱。例如,網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域,對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Impact:Runtime/SuspiciousDomainRequest.Reputation
Amazon EC2 執行個體或容器正在查詢低信譽的網域名稱,該網域名稱本質上因其使用期限或低熱門程度而可疑。
預設嚴重性:低
-
功能:執行期監控
此調查結果會通知您,列出的 EC2 執行個體或您環境中的容器 AWS 正在查詢疑似惡意的低評價網域名稱。此網域觀察到的特性與先前觀察到的惡意網域一致。不過,我們的評價模型無法明確地將其與已知的威脅相關聯。這些網域通常是新觀察到的,或接收少量的流量。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
UnauthorizedAccess:Runtime/MetadataDNSRebind
Amazon EC2 執行個體或容器正在執行解析為執行個體中繼資料服務的 DNS 查詢。
預設嚴重性:高
-
功能:執行期監控
注意
目前,此調查結果類型僅支援 AMD64 架構。
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體或容器正在查詢解析為 EC2 中繼資料 IP 地址 (169.254.169.254 的網域)。這種類型的 DNS 查詢可能表示執行個體是 DNS 重新繫結技術的目標。此技術可用於從 EC2 執行個體獲取中繼資料,包含與執行個體相關聯的 IAM 憑證。
DNS 重新繫結涉及誘使在 EC2 執行個體上執行的應用程式從 URL 載入傳回資料,其中,URL 中的網域名稱解析為 EC2 中繼資料的 IP 地址 (169.254.169.254)。這會導致應用程式存取 EC2 中繼資料,並可能讓攻擊者能夠使用。
只有在 EC2 執行個體執行的具漏洞應用程式允許注入 URL,或有人在 EC2 執行個體上執行的 Web 瀏覽器存取 URL 時,才可能使用 DNS 重新繫結存取 EC2 中繼資料。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
為了回應此調查結果,您應該評估是否有在 EC2 執行個體或容器上執行的易受攻擊的應用程式,或是是否有人使用瀏覽器存取調查結果中識別的網域。如果根本原因是易受攻擊的應用程式,請修復該漏洞。如果有人瀏覽已識別的網域,請封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例有關,請撤銷與 EC2 執行個體相關聯的工作階段。
有些 AWS 客戶刻意將中繼資料 IP 地址映射至其授權 DNS 伺服器上的網域名稱。如果您的 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 UnauthorizedAccess:Runtime/MetaDataDNSRebind。第二個篩選條件應該是 DNS 請求網域或容器的容器映像 ID。DNS 請求網域值應該符合您映射到中繼資料 IP 地址 (169.254.169.254) 的網域。如需有關建立隱藏規則的詳細資訊,請參閱隱藏規則。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/NewBinaryExecuted
已執行容器中新建立或最近修改的二進位檔案。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,容器中新建立的 或最近修改的二進位檔案已執行。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。此行為表示已取得容器存取權、已下載並執行惡意軟體或其他軟體的惡意演員,作為潛在入侵的一部分。雖然這類活動可能是入侵的跡象,但也是常見的使用模式。因此,GuardDuty 使用機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。若要識別修改程序和新的二進位檔,請檢視修改程序詳細資訊和程序詳細資訊
修改程序的詳細資訊會包含在調查結果 JSON 的 service.runtimeDetails.context.modifyingProcess欄位中,或在調查結果詳細資訊面板的修改程序下。對於此調查結果類型,修改程序為 /usr/bin/dpkg,如調查結果 JSON service.runtimeDetails.context.modifyingProcess.executablePath 欄位所識別,或作為調查結果詳細資訊面板中修改程序的一部分。
已執行的新二進位檔或修改的二進位檔詳細資訊會包含在問題清單 JSON service.runtimeDetails.process的 中,或執行時間詳細資訊下的處理程序區段中。對於此調查結果類型,新的或修改的二進位檔為 /usr/bin/python3.8,如 service.runtimeDetails.process.executablePath(可執行路徑) 欄位所示。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/DockerSocketAccessed
容器內的程序正在使用 Docker 通訊端與 Docker 常駐程式進行通訊。
預設嚴重性:中
-
功能:執行期監控
Docker 通訊端是 Docker 常駐程式 (dockerd) 用於與用戶端進行通訊的 Unix 網域通訊端。用戶端可以執行各種操作,例如通過 Docker 通訊端與 Docker 常駐程式進行通訊來建立容器。容器程序存取 Docker 通訊端是可疑行為。容器程序可以逸出容器,並透過與 Docker 通訊端通訊並建立特殊權限容器來取得主機層級的存取。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/RuncContainerEscape
透過 runC 偵測到容器逸出嘗試。
預設嚴重性:高
-
功能:執行期監控
RunC 是高階容器執行時間的低階容器執行時間,例如 Docker 和 Containerd 用於產生和執行容器。RunC 一律使用根權限執行,因為它需要執行建立容器的低階任務。威脅行為者可以透過修改或利用 runC 二進位檔中的漏洞來取得主機層級的存取權。
此調查結果會偵測 runC 二進位檔的修改,以及可能嘗試利用下列 runC 漏洞:
-
CVE-2019-5736
– 的探索CVE-2019-5736涉及從容器內覆寫 runC 二進位檔。當容器內的程序修改 runC 二進位檔時,會叫用此調查結果。 -
CVE-2024-21626
– 的探索CVE-2024-21626涉及將目前的工作目錄 (CWD) 或容器設定為開啟的檔案描述項 /proc/self/fd/。當FileDescriptor/proc/self/fd/偵測到 下目前工作目錄的容器程序時,會叫用此調查結果,例如/proc/self/fd/7。
此調查結果可能表示惡意演員嘗試在下列其中一種類型的容器中執行入侵:
-
具有攻擊者控制的映像的新容器。
-
在主機層級 runC 二進位檔上具有寫入許可的演員可存取的現有容器。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
透過 CGroups 發行代理程式偵測到容器逸出嘗試。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,偵測到嘗試修改控制群組 (cgroup) 發行代理程式檔案的行為。Linux 使用控制群組 (cgroup) 來限制、說明和隔離處理程序集合的資源使用情況。每個 cgroup 都有一個發行代理程式檔案 (release_agent),這是一個指令碼,當 cgroup 內的任何程序終止時,Linux 會執行該命令碼。發行代理程式檔案一律會在主機層級執行。容器內的安全威脅執行者可將任意命令寫入屬於 cgroup 的發行代理程式檔案,藉此逸出至主機。當 cgroup 中的一個程序終止時,該執行者編寫的命令將被執行。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
DefenseEvasion:Runtime/ProcessInjection.Proc
在容器或 Amazon EC2 執行個體中偵測到使用 proc 檔案系統的程序注入。
預設嚴重性:高
-
功能:執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。proc 檔案系統 (procfs) 是 Linux 中的一種特殊的檔案系統,會將程序的虛擬記憶體作為檔案顯示。該檔案的路徑是 /proc/PID/mem,其中 PID 是程序的唯一 ID。威脅執行者可以寫入此檔案,將程式碼插入程序。此調查結果可識別寫入此檔案的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
DefenseEvasion:Runtime/ProcessInjection.Ptrace
在容器或 Amazon EC2 執行個體中偵測到使用 ptrace 系統呼叫的程序注入。
預設嚴重性:中
-
功能:執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用 ptrace 系統呼叫將程式碼注入到另一個程序中。此調查結果可識別使用 ptrace 系統呼叫將程式碼插入程序的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
在容器或 Amazon EC2 執行個體中偵測到透過直接寫入虛擬記憶體的程序注入。
預設嚴重性:高
-
功能:執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用系統呼叫 (例如 process_vm_writev) 直接將程式碼插入另一個程序的虛擬記憶體中。此調查結果可識別使用系統呼叫寫入處理程序虛擬記憶體,從而將程式碼插入程序的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/ReverseShell
容器或 Amazon EC2 執行個體中的程序已建立反向 Shell。
預設嚴重性:高
-
功能:執行期監控
反向 Shell 是在從目標主機啟動至執行者主機的連線上建立的 Shell 工作階段。正常 Shell 是從執行者的主機啟動到目標主機,反向 Shell 則與之相反。威脅執行者會建立反向 Shell,在取得對目標的初始存取許可後,在目標上執行命令。此調查結果可識別建立反向 Shell 的潛在嘗試。
修復建議:
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。
DefenseEvasion:Runtime/FilelessExecution
容器或 Amazon EC2 執行個體中的程序正在從記憶體執行程式碼。
預設嚴重性:中
-
功能:執行期監控
當使用磁碟上的記憶體內可執行檔執行程序時,此調查結果會通知您。這是一種常見的防禦逃避技術,可避免將惡意可執行檔案寫入磁碟,以逃避基於掃描的檔案系統的檢測。儘管惡意軟體會使用此技術,但也有一些合法的用例。其中一個例子是即時 (JIT) 編譯器,其將程式碼編譯到記憶體,並從記憶體執行。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Impact:Runtime/CryptoMinerExecuted
容器或 Amazon EC2 執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,您 AWS 環境中的容器或 EC2 執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的資源類型。
修復建議:
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型,然後參閱修復執行期監控問題清單。
Execution:Runtime/NewLibraryLoaded
新建立或最近修改的程式庫由容器內的程序載入。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,程式庫是在執行期在容器內建立或修改的,並由容器內執行的程序載入。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。在容器中載入新建立或修改的程式庫可能表示存在可疑活動。此行為表示惡意執行者可能獲得對容器的存取許可,且已經下載並執行惡意軟體或其他軟體作為潛在入侵的一部分。雖然這類活動可能是入侵的跡象,但也是常見的使用模式。因此,GuardDuty 使用機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
容器內的程序在執行期掛載了主機檔案系統。
預設嚴重性:中
-
功能:執行期監控
多種容器逸出技術涉及在執行期在容器中安裝主機檔案系統。此調查結果會通知您,容器內的程序可能嘗試掛載主機檔案系統,這可能表示存在嘗試逸出到主機的行為。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/UserfaultfdUsage
程序使用 userfaultfd 系統呼叫來處理使用者空間中的頁面錯誤。
預設嚴重性:中
-
功能:執行期監控
通常,頁面錯誤由核心空間中的核心處理。但是,userfaultfd 系統呼叫允許程序在使用者空間中處理檔案系統上的頁面錯誤。這個有用的功能可以實現使用者空間檔案系統的實作。另一方面,潛在惡意程序也可以利用它來中斷使用者空間的核心。使用 userfaultfd 系統呼叫中斷核心是在利用核心競爭條件期間延伸競爭視窗的常見利用技術。使用 userfaultfd 可能表示 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上存在可疑活動。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/SuspiciousTool
容器或 Amazon EC2 執行個體正在執行二進位檔案或指令碼,經常用於令人反感的安全案例,例如滲透參與。
預設嚴重性:變數
此調查結果的嚴重性可以是高或低,取決於偵測到的可疑工具是否被視為兩用,還是僅供冒犯性使用。
-
功能:執行期監控
此調查結果會通知您,已在您 AWS 環境中的 EC2 執行個體或容器上執行可疑的工具。這包括用於測試互動的工具,也稱為後門工具、網路掃描器和網路嗅探程式。所有這些工具都可以用於良性內容,但威脅行為者也會經常使用惡意意圖。觀察攻擊性安全工具可能表示相關聯的 EC2 執行個體或容器已遭入侵。
GuardDuty 會檢查相關的執行期活動和內容,以便只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/SuspiciousCommand
可疑命令已在 Amazon EC2 執行個體或表示有入侵的容器上執行。
預設嚴重性:變數
根據觀察到的惡意模式的影響,此調查結果類型的嚴重性可以是低、中或高。
-
功能:執行期監控
此調查結果會通知您已執行可疑命令,並指出您 AWS 環境中的 Amazon EC2 執行個體或容器已遭入侵。這可能表示從可疑來源下載檔案,然後執行,或執行中的程序在其命令列中顯示已知的惡意模式。這進一步指出惡意軟體正在系統上執行。
GuardDuty 會檢查相關的執行期活動和內容,以便只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
DefenseEvasion:Runtime/SuspiciousCommand
命令已在列出的 Amazon EC2 執行個體或容器上執行,嘗試修改或停用 Linux 防禦機制,例如防火牆或基本系統服務。
預設嚴重性:變數
根據修改或停用的防禦機制,此調查結果類型的嚴重性可以是高、中或低。
-
功能:執行期監控
此調查結果會通知您,嘗試隱藏來自本機系統安全服務的攻擊的命令已執行。這包括停用 Unix 防火牆、修改本機 IP 資料表、移除crontab項目、停用本機服務或接管LDPreload函數等動作。任何修改都是高度可疑的,並且是潛在的入侵指標。因此,這些機制會偵測或防止進一步入侵系統。
GuardDuty 會檢查相關的執行期活動和內容,以便只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
DefenseEvasion:Runtime/PtraceAntiDebugging
容器或 Amazon EC2 執行個體中的程序已使用 ptrace 系統呼叫執行反偵錯措施。
預設嚴重性:低
-
功能:執行期監控
此調查結果顯示,在 Amazon EC2 執行個體或 AWS 環境中的容器上執行的程序已使用 ptrace 系統呼叫搭配 PTRACE_TRACEME選項。此活動會導致連接的偵錯器與執行中的程序分離。如果未連接除錯器,則不會有任何效果。不過,活動本身會引發懷疑。這可能表示惡意軟體正在系統上執行。惡意軟體經常使用反偵錯技術來規避分析,而且這些技術可以在執行時間偵測到。
GuardDuty 會檢查相關的執行期活動和內容,以便只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/MaliciousFileExecuted
Amazon EC2 執行個體或容器上已執行已知的惡意可執行檔。
預設嚴重性:高
-
功能:執行期監控
此調查結果會通知您,已知的惡意可執行檔已在 Amazon EC2 執行個體或 AWS 環境中的容器上執行。這是執行個體或容器可能遭到入侵,且惡意軟體已執行的強大指標。
GuardDuty 會檢查相關的執行期活動和內容,以便只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Execution:Runtime/SuspiciousShellCreated
Amazon EC2 執行個體或容器中的網路服務或網路可存取程序已啟動互動式 shell 程序。
預設嚴重性:低
-
功能:執行期監控
此調查結果會通知您,Amazon EC2 執行個體或 AWS 環境中容器中的網路可存取服務已啟動互動式 shell。在某些情況下,此案例可能表示探索後行為。互動式 shell 可讓攻擊者在遭入侵的執行個體或容器上執行任意命令。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。您可以在父程序詳細資訊中檢視可存取網路的程序資訊。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/ElevationToRoot
在列出的 Amazon EC2 執行個體或容器上執行的程序已取得根權限。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,在列出的 Amazon EC2 或 AWS 環境中列出的容器中執行的程序已透過異常或可疑的setuid二進位執行取得根權限。這表示執行中的程序可能已遭入侵、透過入侵或setuid利用 EC2 執行個體。透過使用根權限,攻擊者可能可以在執行個體或容器上執行命令。
雖然 GuardDuty 設計為不會針對涉及定期使用 sudo命令的活動產生此調查結果類型,但當它將活動識別為異常或可疑時,就會產生此調查結果。
GuardDuty 會檢查相關的執行期活動和內容,並只在相關聯的活動和內容異常或可疑時產生此調查結果類型。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Discovery:Runtime/SuspiciousCommand
可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者取得本機系統、周邊 AWS 基礎設施或容器基礎設施的相關資訊。
預設嚴重性:低
功能:執行期監控
此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2 執行個體或容器已執行 命令,該命令可能提供攻擊者可能提升攻擊的重要資訊。可能已擷取下列資訊:
-
本機系統,例如使用者或網路組態、
-
其他可用的 AWS 資源和許可,或
-
Kubernetes 基礎設施,例如 服務和 Pod。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。您可以在問題清單 JSON 的 service.runtimeDetails.context 欄位中找到有關可疑命令的詳細資訊。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
Persistence:Runtime/SuspiciousCommand
可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者在您的 AWS 環境中持續存取和控制。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,已在 Amazon EC2 執行個體或 AWS 環境中的容器中執行可疑命令。命令會安裝持久性方法,允許惡意軟體不間斷地執行,或允許攻擊者持續存取可能遭到入侵的執行個體或容器資源類型。這可能表示系統服務已安裝或修改、crontab已修改,或已將新使用者新增至系統組態。
GuardDuty 會檢查相關的執行期活動和內容,並只在相關聯的活動和內容異常或可疑時產生此調查結果類型。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。您可以在問題清單 JSON 的 service.runtimeDetails.context 欄位中找到有關可疑命令的詳細資訊。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
PrivilegeEscalation:Runtime/SuspiciousCommand
可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者提升權限。
預設嚴重性:中
-
功能:執行期監控
此調查結果會通知您,已在 Amazon EC2 執行個體或 AWS 環境中的容器中執行可疑命令。命令會嘗試執行權限提升,這可讓對手執行高權限任務。
GuardDuty 會檢查相關的執行期活動和內容,並只在相關聯的活動和內容異常或可疑時產生此調查結果類型。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。
修復建議:
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控問題清單。
