GuardDuty 執行期監控調查結果類型 - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecutedExecution:Runtime/SuspiciousShellCreatedPrivilegeEscalation:Runtime/ElevationToRootDiscovery:Runtime/SuspiciousCommandPersistence:Runtime/SuspiciousCommandPrivilegeEscalation:Runtime/SuspiciousCommand

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 執行期監控調查結果類型

Amazon GuardDuty 會產生下列執行期監控調查結果,根據來自 Amazon EKS叢集、Fargate 和 Amazon ECS工作負載以及 Amazon EC2執行個體中的 Amazon EC2 主機和容器的作業系統層級行為,指出潛在威脅。

注意

執行期監控調查結果類型以從主機收集的執行期記錄為基礎。日誌包含可能由惡意執行者控制的檔案路徑等欄位。這些欄位也包含在 GuardDuty 調查結果中,以提供執行期內容。在 GuardDuty 主控台之外處理執行期監控調查結果時,您必須對調查結果欄位進行消毒。例如,您可以在網頁上顯示調查結果欄位時對其進行HTML編碼。

主題

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2執行個體或容器正在查詢與加密貨幣相關活動相關聯的 IP 地址。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與加密貨幣相關活動相關聯的 IP 地址。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果您使用此EC2執行個體或容器來挖掘或管理加密貨幣,或者其中任何一項涉及區塊鏈活動,則 CryptoCurrency:Runtime/BitcoinTool.B 調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 CryptoCurrency:Runtime/BitcoinTool.B。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Backdoor:Runtime/C&CActivity.B

Amazon EC2執行個體或容器正在查詢與已知命令和控制伺服器相關聯的 IP。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與已知命令和控制 (C&C) 伺服器相關聯的 IP。列出的執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是網際網路連線裝置的集合,可能包含 PCs、伺服器、行動裝置和物聯網裝置,這些裝置受到常見惡意軟體類型的感染和控制。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的目的和結構,C&C 伺服器也可能發出命令來開始分散式拒絕服務 (DDoS) 攻擊。

注意

如果查詢的 IP 與 log4J 相關,則相關調查結果的欄位將包含下列值:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

UnauthorizedAccess:Runtime/TorRelay

您的 Amazon EC2執行個體或容器正在以 Tor 轉送方式連線至 Tor 網路。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您, AWS 環境中的EC2執行個體或容器正在以暗示其充當 Tor 轉送的方式與 Tor 網路建立連線。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊,做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

UnauthorizedAccess:Runtime/TorClient

您的 Amazon EC2執行個體或容器正在與 Tor Guard 或 Authority 節點建立連線。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您環境中的EC2執行個體或容器 AWS 正在與 Tor Guard 或 Authority 節點建立連線。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量可能表示此EC2執行個體或容器可能已遭入侵,且正在 Tor 網路上擔任用戶端。此調查結果可能表示未經授權存取您的 AWS 資源,意圖隱藏攻擊者的真實身分。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/BlackholeTraffic

Amazon EC2執行個體或容器正在嘗試與已知為黑洞的遠端主機 IP 地址通訊。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您列出的EC2執行個體或 AWS 環境中的容器可能遭到入侵,因為其嘗試與黑洞 (或水槽孔) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機,或未分配主機的地址。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/DropPoint

Amazon EC2執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保存憑證和惡意軟體擷取的其他遭竊資料。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您, AWS 您環境中的EC2執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保存憑證和惡意軟體擷取的其他遭竊資料。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2執行個體或容器正在查詢與加密貨幣活動相關聯的網域名稱。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與 Bitcoin 或其他加密貨幣相關活動的網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果您使用此EC2執行個體或容器來挖掘或管理加密貨幣,或者其中任何一項涉及區塊鏈活動,則 CryptoCurrency:Runtime/BitcoinTool.B!DNS 調查結果可能是您環境的預期活動。如果您的 AWS 環境中發生這種情況,建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 CryptoCurrency:Runtime/BitcoinTool.B!DNS。第二個篩選條件應該是加密貨幣或區塊鏈活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2執行個體或容器正在查詢與已知命令和控制伺服器相關聯的網域名稱。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與已知命令和控制 (C&C) 伺服器相關聯的網域名稱。列出的EC2執行個體或容器可能會遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是網際網路連線裝置的集合,可能包含 PCs、伺服器、行動裝置和物聯網裝置,這些裝置受到常見惡意軟體類型的感染和控制。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的目的和結構,C&C 伺服器也可能發出命令來開始分散式拒絕服務 (DDoS) 攻擊。

注意

如果查詢的網域名稱與 log4J 相關,則相關調查結果的欄位將包含下列值:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

注意

若要測試如何 GuardDuty 產生此調查結果類型,您可以從執行個體 (dig適用於 Linux 或 nslookup Windows) 針對測試網域 提出DNS請求guarddutyc2activityb.com

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2執行個體或容器正在查詢要重新導向至黑洞 IP 地址的網域名稱。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您列出的EC2執行個體或環境中 AWS 的容器可能遭到入侵,因為它正在查詢要重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/DropPoint!DNS

Amazon EC2執行個體或容器正在查詢遠端主機的網域名稱,該網域名稱已知會保留憑證和惡意軟體擷取的其他遭竊資料。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您, AWS 您環境中的EC2執行個體或容器正在查詢遠端主機的網域名稱,該網域名稱已知會保存憑證和惡意軟體擷取的其他遭竊資料。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2執行個體或容器正在查詢演算法產生的網域。這類網域通常由惡意軟體使用,可能表示EC2執行個體或容器遭到入侵。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在嘗試查詢網域產生演算法 (DGA) 網域。您的資源可能已遭入侵。

DGAs 用於定期產生大量網域名稱,這些網域名稱可透過其命令和控制 (C&C) 伺服器做為輔助點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

注意

此調查結果是以 GuardDuty 來自威脅情報摘要的已知DGA網域為基礎。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2執行個體或容器正在查詢遠端主機的網域名稱,而該主機是 Drive-By 下載攻擊的已知來源。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器可能會遭到入侵,因為它正在查詢遠端主機的網域名稱,而該網域名稱是已知的隨插即用下載攻擊來源。這些是從網際網路上意外下載的電腦軟體,它們可以啟動病毒、間諜軟體或惡意軟體的自動安裝。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2執行個體或容器正在查詢涉及網路釣魚攻擊的網域。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,您 AWS 環境中有EC2執行個體或容器嘗試查詢涉及網路釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立,以誘使個人提供敏感資料,如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的EC2執行個體或容器可能嘗試擷取存放在網路釣魚網站上的敏感資料,也可能嘗試設定網路釣魚網站。您的EC2執行個體或容器可能會遭到入侵。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2執行個體或容器正在查詢與已知濫用網域相關聯的低信譽網域名稱。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與已知濫用網域或 IP 地址相關聯的低信譽網域名稱。濫用網域的範例包括頂層網域名稱 (TLDs) 和第二級網域名稱 (2LDs),提供免費的子網域註冊以及動態DNS提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域,因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2執行個體或容器可能會遭到入侵,因為威脅發動者通常會使用這些註冊者或服務進行 C&C 和惡意軟體分發。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2執行個體或容器正在查詢與加密貨幣相關活動相關聯的低信譽網域名稱。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與 Bitcoin 或其他加密貨幣相關活動相關聯的低信譽網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果您使用此EC2執行個體或容器來挖掘或管理加密貨幣,或者這些資源以其他方式涉及區塊鏈活動,則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 Impact:Runtime/BitcoinDomainRequest.Reputation。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的執行個體 ID 或相關容器的容器映像 ID。如需詳細資訊,請參閱隱藏規則

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2執行個體或容器正在查詢與已知惡意網域相關聯的低信譽網域。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢與已知惡意網域或 IP 地址相關聯的低信譽網域名稱。例如,網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域,對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2執行個體或容器正在查詢低信譽網域名稱,因為其使用年限或受歡迎程度低,所以本質上是可疑的。

預設嚴重性:低

  • 功能:執行期監控

此調查結果會通知您,列出的EC2執行個體或環境中 AWS 的容器正在查詢疑似惡意的低信譽網域名稱。 注意到此網域的特徵與先前觀察到的惡意網域一致,但是,我們的信譽模型無法明確地將其與已知的威脅相關聯。這些網域通常是新觀察到的,或接收少量的流量。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2執行個體或容器正在執行可解析為執行個體中繼資料服務的DNS查詢。

預設嚴重性:高

  • 功能:執行期監控

注意

目前,只有AMD64架構支援此調查結果類型。

此調查結果會通知您, AWS 您環境中的EC2執行個體或容器正在查詢解析為EC2中繼資料 IP 地址 (169.254.169.254) 的網域。這種DNS查詢可能表示執行個體是DNS重新繫結技術的目標。此技術可用來從EC2執行個體取得中繼資料,包括與執行個體相關聯的IAM憑證。

DNS 重新繫結涉及欺騙EC2執行個體上執行的應用程式,以從 載入傳回資料URL,其中 中的網域名稱URL解析為EC2中繼資料 IP 地址 (169.254.169.254)。這會導致應用程式存取EC2中繼資料,並可能將其提供給攻擊者。

只有當EC2執行個體正在執行允許插入 的易受攻擊應用程式URLs,或有人在執行個體上執行的 Web 瀏覽器URL中存取 時,才能使用DNS重新繫結來存取EC2中繼資料EC2。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

為了回應此調查結果,您應該評估是否有易受攻擊的應用程式在EC2執行個體或容器上執行,或者是否有人使用瀏覽器存取調查結果中識別的網域。如果根本原因是易受攻擊的應用程式,請修復該漏洞。如果有人瀏覽已識別的網域,請封鎖該網域或防止使用者存取該網域。如果您確定此調查結果與上述任一案例相關,請撤銷與EC2執行個體 相關聯的工作階段

有些 AWS 客戶會刻意將中繼資料 IP 地址映射至其授權DNS伺服器上的網域名稱。如果您的 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用調查結果類型屬性,其值為 UnauthorizedAccess:Runtime/MetaDataDNSRebind。第二個篩選條件應為DNS請求網域或容器的容器映像 IDDNS 請求網域值應與您映射到中繼資料 IP 地址的網域相符 (169.254.169.254)。如需有關建立隱藏規則的詳細資訊,請參閱隱藏規則

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/NewBinaryExecuted

已執行容器中新建立或最近修改的二進位檔案。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,容器內新建立的 或最近修改的二進位檔案已執行。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。此行為表示已取得容器存取權、已下載並執行惡意軟體或其他軟體的惡意行為者,作為潛在入侵的一部分。雖然這類活動可能是入侵的跡象,但也是常見的使用模式。因此, GuardDuty 會使用 機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型。若要識別修改程序和新的二進位檔,請檢視修改程序詳細資訊和程序詳細資訊

修改程序的詳細資訊會包含在調查結果 的 service.runtimeDetails.context.modifyingProcess 欄位JSON,或在調查結果詳細資訊面板的修改程序下。對於此調查結果類型,修改程序為 /usr/bin/dpkg,如調查結果 service.runtimeDetails.context.modifyingProcess.executablePath 的欄位所識別JSON,或作為調查結果詳細資訊面板中修改程序的一部分。

已執行的新二進位或已修改二進位檔的詳細資訊會包含在調查結果 service.runtimeDetails.process的 中JSON,或執行期詳細資訊 下的程序區段中。 對於此調查結果類型,新的或修改的二進位為 /usr/bin/python3.8,如 service.runtimeDetails.process.executablePath可執行路徑 ) 欄位所示。

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/DockerSocketAccessed

容器內的程序正在使用 Docker 通訊端與 Docker 常駐程式進行通訊。

預設嚴重性:中

  • 功能:執行期監控

Docker 通訊端是 Docker 常駐程式 (dockerd) 用於與用戶端進行通訊的 Unix 網域通訊端。用戶端可以執行各種操作,例如通過 Docker 通訊端與 Docker 常駐程式進行通訊來建立容器。容器程序存取 Docker 通訊端是可疑行為。容器程序可以透過與 Docket 通訊端通訊並建立特權容器來逸出容器並獲得主機層級存取許可。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/RuncContainerEscape

透過 runC 偵測到容器逸出嘗試。

預設嚴重性:高

  • 功能:執行期監控

RunC 是高階容器執行期的低階容器執行期,例如 Docker 和 Containerd 用於剪接和執行容器。RunC 一律使用根權限執行,因為它需要執行建立容器的低階任務。威脅行為人可以透過修改或利用 runC 二進位中的漏洞來取得主機層級的存取權。

此調查結果會偵測 runC 二進位檔的修改,以及可能嘗試利用下列 runC 漏洞的嘗試:

  • CVE-2019-5736 – 的 利用 CVE-2019-5736 涉及從容器內覆寫 runC 二進位檔案。當容器內的程序修改 runC 二進位檔案時,會叫用此調查結果。

  • CVE-2024-21626 – 的 利用 CVE-2024-21626 涉及將目前的工作目錄 (CWD) 或容器設定為開啟的檔案描述符 /proc/self/fd/FileDescriptor。當/proc/self/fd/偵測到 下目前工作目錄的容器程序時,會叫用此調查結果,例如 /proc/self/fd/7

此調查結果可能表示惡意行為者已嘗試在下列其中一種類型的容器中執行入侵:

  • 具有攻擊者控制的映像的新容器。

  • 在主機層級 runC 二進位檔上具有寫入許可的發動者可存取的現有容器。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

透過CGroups版本代理程式偵測到容器逸出嘗試。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,偵測到嘗試修改控制群組 (cgroup) 發行代理程式檔案的行為。Linux 使用控制群組 (cgroup) 來限制、說明和隔離處理程序集合的資源使用情況。每個 cgroup 都有一個發行代理程式檔案 (release_agent),這是一個指令碼,當 cgroup 內的任何程序終止時,Linux 會執行該命令碼。發行代理程式檔案一律會在主機層級執行。容器內的安全威脅執行者可將任意命令寫入屬於 cgroup 的發行代理程式檔案,藉此逸出至主機。當 cgroup 中的一個程序終止時,該執行者編寫的命令將被執行。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

DefenseEvasion:Runtime/ProcessInjection.Proc

在容器或 Amazon EC2執行個體中偵測到使用 proc 檔案系統的程序注入。

預設嚴重性:高

  • 功能:執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。proc 檔案系統 (procfs) 是 Linux 中的一種特殊的檔案系統,會將程序的虛擬記憶體作為檔案顯示。該檔案的路徑是 /proc/PID/mem,其中 PID 是程序的唯一 ID。威脅執行者可以寫入此檔案,將程式碼插入程序。此調查結果可識別寫入此檔案的潛在嘗試。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

DefenseEvasion:Runtime/ProcessInjection.Ptrace

在容器或 Amazon EC2執行個體中偵測到使用 ptrace 系統呼叫的程序注入。

預設嚴重性:中

  • 功能:執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用 ptrace 系統呼叫將程式碼注入到另一個程序中。此調查結果可識別使用 ptrace 系統呼叫將程式碼插入程序的潛在嘗試。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

在容器或 Amazon EC2執行個體中偵測到透過直接寫入虛擬記憶體的程序注入。

預設嚴重性:高

  • 功能:執行期監控

程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用系統呼叫 (例如 process_vm_writev) 直接將程式碼插入另一個程序的虛擬記憶體中。此調查結果可識別使用系統呼叫寫入處理程序虛擬記憶體,從而將程式碼插入程序的潛在嘗試。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/ReverseShell

容器或 Amazon EC2執行個體中的程序已建立反向 shell。

預設嚴重性:高

  • 功能:執行期監控

反向 Shell 是在從目標主機啟動至執行者主機的連線上建立的 Shell 工作階段。正常 Shell 是從執行者的主機啟動到目標主機,反向 Shell 則與之相反。威脅執行者會建立反向 Shell,在取得對目標的初始存取許可後,在目標上執行命令。此調查結果可識別建立反向 Shell 的潛在嘗試。

修復建議:

如果此活動不在預期中,即代表您的資源類型可能已遭入侵。

DefenseEvasion:Runtime/FilelessExecution

容器或 Amazon EC2執行個體中的程序正在從記憶體執行程式碼。

預設嚴重性:中

  • 功能:執行期監控

當使用磁碟上的記憶體內可執行檔執行程序時,此調查結果會通知您。這是一種常見的防禦逃避技術,可避免將惡意可執行檔案寫入磁碟,以逃避基於掃描的檔案系統的檢測。儘管惡意軟體會使用此技術,但也有一些合法的用例。其中一個範例是 just-in-time(JIT) 編譯器,可將編譯的程式碼寫入記憶體並從記憶體執行。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Impact:Runtime/CryptoMinerExecuted

容器或 Amazon EC2執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您, AWS 環境中的容器或EC2執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果面板中檢視資源類型

修復建議:

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型,並請參閱 修復執行期監控調查結果

Execution:Runtime/NewLibraryLoaded

新建立或最近修改的程式庫由容器內的程序載入。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,程式庫是在執行期在容器內建立或修改的,並由容器內執行的程序載入。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。在容器中載入新建立或修改的程式庫可能表示存在可疑活動。此行為表示惡意執行者可能獲得對容器的存取許可,且已經下載並執行惡意軟體或其他軟體作為潛在入侵的一部分。雖然這類活動可能是入侵的跡象,但也是常見的使用模式。因此, GuardDuty 會使用 機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

容器內的程序在執行期掛載了主機檔案系統。

預設嚴重性:中

  • 功能:執行期監控

多種容器逸出技術涉及在執行期在容器中安裝主機檔案系統。此調查結果會通知您,容器內的程序可能嘗試掛載主機檔案系統,這可能表示存在嘗試逸出到主機的行為。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/UserfaultfdUsage

程序使用 userfaultfd 系統呼叫來處理使用者空間中的頁面錯誤。

預設嚴重性:中

  • 功能:執行期監控

通常,頁面錯誤由核心空間中的核心處理。但是,userfaultfd 系統呼叫允許程序在使用者空間中處理檔案系統上的頁面錯誤。這個有用的功能可以實現使用者空間檔案系統的實作。另一方面,潛在惡意程序也可以利用它來中斷使用者空間的核心。使用 userfaultfd 系統呼叫中斷核心是在利用核心競爭條件期間延伸競爭視窗的常見利用技術。使用 userfaultfd可能表示 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上的可疑活動。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/SuspiciousTool

容器或 Amazon EC2執行個體正在執行二進位檔案或指令碼,經常用於令人反感的安全案例,例如滲透參與。

預設嚴重性:變數

此調查結果的嚴重性可以是高或低,取決於偵測到的可疑工具是否被視為兩用,還是僅供冒犯性使用。

  • 功能:執行期監控

此調查結果會通知您,在您 AWS 環境中的EC2執行個體或容器上執行了可疑的工具。這包括用於測試參與的工具,也稱為後門工具、網路掃描器和網路嗅探程式。所有這些工具都可以用於良性內容,但威脅發動者也會經常使用惡意內容。觀察令人反感的安全工具可能表示相關聯的EC2執行個體或容器已遭入侵。

GuardDuty 會檢查相關的執行期活動和內容,以便僅在相關聯的活動和內容可能可疑時產生此調查結果。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/SuspiciousCommand

可疑命令已在 Amazon EC2執行個體或表示入侵的容器上執行。

預設嚴重性:變數

根據觀察到的惡意模式的影響,此調查結果類型的嚴重性可以是低、中或高。

  • 功能:執行期監控

此調查結果會通知您已執行可疑命令,並指出 AWS 環境中的 Amazon EC2執行個體或容器已遭入侵。這可能表示檔案是從可疑來源下載,然後執行,或者執行中的程序在其命令列中顯示已知的惡意模式。這進一步表示惡意軟體正在系統上執行。

GuardDuty 會檢查相關的執行期活動和內容,以便僅在相關聯的活動和內容可能可疑時產生此調查結果。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

DefenseEvasion:Runtime/SuspiciousCommand

命令已在列出的 Amazon EC2執行個體或容器上執行,嘗試修改或停用 Linux 防禦機制,例如防火牆或基本系統服務。

預設嚴重性:變數

根據修改或停用的防禦機制,此調查結果類型的嚴重性可以是高、中或低。

  • 功能:執行期監控

此調查結果會通知您,嘗試隱藏來自本機系統安全服務的攻擊的命令已執行。這包括停用 Unix 防火牆、修改本機 IP 資料表、移除等動作 crontab 項目、停用本機服務或接管LDPreload函數。任何修改都是高度可疑的,並且是潛在的入侵指標。因此,這些機制會偵測或防止進一步入侵系統。

GuardDuty 會檢查相關的執行期活動和內容,以便僅在相關聯的活動和內容可能可疑時產生此調查結果。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

DefenseEvasion:Runtime/PtraceAntiDebugging

容器或 Amazon EC2執行個體中的程序已使用 ptrace 系統呼叫執行反偵錯措施。

預設嚴重性:低

  • 功能:執行期監控

此調查結果顯示,在 Amazon EC2執行個體或 AWS 環境中的容器上執行的程序已搭配 PTRACE_TRACEME選項使用 ptrace 系統呼叫。此活動會導致連接的偵錯器與執行中的程序分離。如果未連接偵錯器,則不會有任何效果。不過,活動本身會引發懷疑。這可能表示惡意軟體正在系統上執行。惡意軟體經常使用反偵錯技術來規避分析,而且可在執行階段偵測到這些技術。

GuardDuty 會檢查相關的執行期活動和內容,以便僅在相關聯的活動和內容可能可疑時產生此調查結果。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/MaliciousFileExecuted

Amazon EC2執行個體或容器上執行已知的惡意可執行檔。

預設嚴重性:高

  • 功能:執行期監控

此調查結果會通知您,已知的惡意可執行檔已在 Amazon EC2執行個體或 AWS 環境中的容器上執行。這是執行個體或容器可能遭到入侵,且惡意軟體已執行的強烈指標。

惡意軟體經常使用反偵錯技術來規避分析,而且可在執行階段偵測到這些技術。

GuardDuty 會檢查相關的執行期活動和內容,以便僅在相關聯的活動和內容可能可疑時產生此調查結果。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Execution:Runtime/SuspiciousShellCreated

Amazon EC2執行個體或容器中的網路服務或網路可存取程序已啟動互動式 shell 程序。

預設嚴重性:低

  • 功能:執行期監控

此調查結果會通知您,Amazon EC2執行個體或 AWS 環境中容器中的網路可存取服務已啟動互動式 shell。在某些情況下,此案例可能表示探索後行為。互動式 shell 可讓攻擊者在遭入侵的執行個體或容器上執行任意命令。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視資源類型。您可以在父程序詳細資訊中檢視網路可存取的程序資訊。

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/ElevationToRoot

在列出的 Amazon EC2執行個體或容器上執行的程序已取得根權限。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,在列出的 Amazon EC2或 AWS 環境中列出的容器中執行的程序已透過異常或可疑的setuid二進位執行取得根權限。這表示執行中的程序可能已遭入侵,例如EC2透過入侵或setuid利用。透過使用根權限,攻擊者可能可以在執行個體或容器上執行命令。

雖然 GuardDuty 旨在不為涉及定期使用 sudo 命令的活動產生此調查結果類型,但當它將活動識別為異常或可疑時,將產生此調查結果。

GuardDuty 會檢查相關的執行期活動和內容,並只在相關活動和內容異常或可疑時才產生此調查結果類型。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Discovery:Runtime/SuspiciousCommand

可疑命令已在 Amazon EC2執行個體或容器中執行,這可讓攻擊者取得本機系統、周圍 AWS 基礎設施或容器基礎設施的相關資訊。

預設嚴重性:低

功能:執行期監控

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體或容器已執行 命令,該命令可能提供攻擊者可能提升攻擊的重要資訊。可能已擷取下列資訊:

  • 本機系統,例如使用者或網路組態、

  • 其他可用的 AWS 資源和許可,或

  • Kubernetes 基礎設施,例如服務和 Pod。

Amazon EC2執行個體或列於調查結果詳細資訊中的容器可能已遭到入侵。

GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型。您可以在調查結果 的 service.runtimeDetails.context 欄位中找到有關可疑命令的詳細資訊JSON。

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

Persistence:Runtime/SuspiciousCommand

可疑命令已在 Amazon EC2執行個體或容器中執行,這可讓攻擊者在您的 AWS 環境中持續存取和控制。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,可疑命令已在 Amazon EC2執行個體或 AWS 環境中的容器中執行。此命令會安裝持久性方法,允許惡意軟體不間斷地執行,或允許攻擊者持續存取可能遭到入侵的執行個體或容器資源類型。這可能表示系統服務已安裝或修改、crontab已修改,或已將新使用者新增至系統組態。

GuardDuty 會檢查相關的執行期活動和內容,並只在相關活動和內容異常或可疑時才產生此調查結果類型。

Amazon EC2執行個體或列於調查結果詳細資訊中的容器可能已遭到入侵。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別可能遭到入侵的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型。您可以在調查結果 的 service.runtimeDetails.context 欄位中找到有關可疑命令的詳細資訊JSON。

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果

PrivilegeEscalation:Runtime/SuspiciousCommand

可疑命令已在 Amazon EC2執行個體或容器中執行,這可讓攻擊者提升權限。

預設嚴重性:中

  • 功能:執行期監控

此調查結果會通知您,可疑命令已在 Amazon EC2執行個體或 AWS 環境中的容器中執行。命令會嘗試執行權限提升,這可讓對手執行高權限任務。

GuardDuty 會檢查相關的執行期活動和內容,並只在相關活動和內容異常或可疑時才產生此調查結果類型。

Amazon EC2執行個體或列於調查結果詳細資訊中的容器可能已遭到入侵。

GuardDuty 執行期代理程式會監控來自多個資源的事件。若要識別受影響的資源,請在 GuardDuty主控台的調查結果詳細資訊中檢視資源類型

修復建議:

如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱修復執行期監控調查結果