GuardDuty EC2 問題清單類型 - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty EC2 問題清單類型

下列問題清單是 Amazon EC2 資源特有的,且一律具有 的資源類型Instance。調查結果的嚴重性和詳細資訊會根據資源角色而有所不同,這表示EC2資源是可疑活動的目標還是執行活動的動作者。

此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需有關資料來源和模型的詳細資訊,請參閱GuardDuty 基礎資料來源

備註

  • EC2 如果執行個體已終止,或基礎API呼叫源自不同區域中的EC2執行個體,則可能缺少問題清單執行個體詳細資訊。

  • EC2 使用VPC流程日誌做為資料來源的 問題清單不支援IPv6流量。

對於所有EC2調查結果,建議您檢查有問題的資源,以判斷其行為是否如預期。如果活動獲得授權,您可以使用隱藏規則或受信任的 IP 清單來防止該資源的誤判通知。如果活動是非預期的,安全最佳實務是假設執行個體已遭入侵,並採取修復可能遭到入侵的 Amazon EC2執行個體中詳述的動作。

Backdoor:EC2/C&CActivity.B

EC2 執行個體正在查詢與已知命令和控制伺服器相關聯的 IP。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的 IP。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是網際網路連線裝置的集合,可能包含 PCs、伺服器、行動裝置和物聯網裝置,這些裝置受到常見惡意軟體類型的感染和控制。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的目的和結構,C&C 伺服器也可能發出命令來開始分散式拒絕服務 (DDoS) 攻擊。

注意

如果查詢的 IP 與 log4J 相關,則相關調查結果的欄位將包含下列值:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j 相關

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/C&CActivity.B!DNS

EC2 執行個體正在查詢與已知命令和控制伺服器相關聯的網域名稱。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的網域名稱。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是網際網路連線裝置的集合,可能包含 PCs、伺服器、行動裝置和物聯網裝置,這些裝置受到常見惡意軟體類型的感染和控制。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的目的和結構,C&C 伺服器也可能發出命令來開始分散式拒絕服務 (DDoS) 攻擊。

注意

如果查詢的網域名稱與 log4J 相關,則相關調查結果的欄位將包含下列值:

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j 相關

注意

若要測試 如何 GuardDuty 產生此調查結果類型,您可以從執行個體 (dig適用於 Linux 或nslookup適用於 Windows) 針對測試網域 提出DNS請求guarddutyc2activityb.com

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/DenialOfService.Dns

EC2 執行個體的行為方式可能表示它正用於使用DNS通訊協定執行拒絕服務 (DoS) 攻擊。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在產生大量的傳出DNS流量。這可能表示列出的執行個體已遭入侵,並用於使用DNS通訊協定執行 denial-of-service(DoS) 攻擊。

注意

此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/DenialOfService.Tcp

EC2 執行個體的行為方式表示它正用於使用TCP通訊協定執行拒絕服務 (DoS) 攻擊。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在產生大量的傳出TCP流量。這可能表示執行個體已遭入侵,並用於使用TCP通訊協定執行 denial-of-service(DoS) 攻擊。

注意

此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/DenialOfService.Udp

EC2 執行個體的行為方式表示它正用於使用UDP通訊協定執行拒絕服務 (DoS) 攻擊。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在產生大量的傳出UDP流量。這可能表示列出的執行個體已遭入侵,並用於使用UDP通訊協定執行 denial-of-service(DoS) 攻擊。

注意

此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 執行個體的行為方式可能表示它正用於在TCP連接埠上使用UDP通訊協定執行拒絕服務 (DoS) 攻擊。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在產生大量傳出UDP流量,目標為通常用於TCP通訊的連接埠。這可能表示列出的執行個體已遭入侵,並用來在TCP連接埠上使用UDP通訊協定執行 denial-of-service(DoS) 攻擊。

注意

此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 執行個體的行為方式可能表示它正用於使用不尋常的通訊協定執行拒絕服務 (DoS) 攻擊。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在從異常通訊協定類型產生大量傳出流量,這些類型通常不會由EC2執行個體使用,例如網際網路群組管理通訊協定。這可能表示執行個體已遭入侵,並用於使用異常通訊協定執行 denial-of-service (DoS) 攻擊。此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Backdoor:EC2/Spambot

EC2 執行個體透過與連接埠 25 上的遠端主機通訊,展現異常行為。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在與連接埠 25 上的遠端主機通訊。此行為異常,因為此EC2執行個體先前沒有連接埠 25 上的通訊歷史記錄。連接埠 25 傳統上由郵件伺服器用於SMTP通訊。此調查結果指出您的EC2執行個體可能遭到入侵,以用於傳送垃圾郵件。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Behavior:EC2/NetworkPortUnusual

EC2 執行個體正在與不尋常伺服器連接埠上的遠端主機通訊。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體的行為偏離了已建立的基準。此EC2執行個體先前沒有此遠端連接埠上的通訊歷史記錄。

注意

如果EC2執行個體在連接埠 389 或連接埠 1389 上通訊,則相關聯的調查結果嚴重性會修改為高,而調查結果欄位將包含下列值:

  • service.additionalInfo.context = 可能的 log4j 回呼

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Behavior:EC2/TrafficVolumeUnusual

EC2 執行個體正在對遠端主機產生異常大量的網路流量。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體的行為偏離了已建立的基準。此EC2執行個體先前沒有將此大量流量傳送至此遠端主機的歷史記錄。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

CryptoCurrency:EC2/BitcoinTool.B

EC2 執行個體正在查詢與加密貨幣相關活動相關聯的 IP 地址。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在查詢與比特幣或其他加密貨幣相關活動的 IP 地址。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。

修復建議:

如果您使用此EC2執行個體來挖掘或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 CryptoCurrency:EC2/BitcoinTool.B。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則,請參閱中的隱藏規則 GuardDuty

如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱修復可能遭到入侵的 Amazon EC2執行個體

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 執行個體正在查詢與加密貨幣相關活動相關聯的網域名稱。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在查詢與 Bitcoin 或其他加密貨幣相關活動的網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。

修復建議:

如果您使用此EC2執行個體來挖掘或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則,請參閱中的隱藏規則 GuardDuty

如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱修復可能遭到入侵的 Amazon EC2執行個體

DefenseEvasion:EC2/UnusualDNSResolver

Amazon EC2執行個體正在與不尋常的公有DNS解析程式通訊。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體的行為偏離基準行為。此EC2執行個體沒有與此公有DNS解析程式通訊的最新歷史記錄。 GuardDuty 主控台中調查結果詳細資訊面板中的異常欄位可以提供有關查詢DNS解析程式的資訊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2執行個體正在執行異常DNS的透過 HTTPS(DoH) 通訊。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體的行為偏離了已建立的基準。此EC2執行個體沒有與此公有 DoH 伺服器進行DNS過 HTTPS(DoH通訊的任何近期歷史記錄。 DoH 調查結果詳細資訊中的不尋常欄位可提供有關查詢 DoH 伺服器的資訊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2執行個體正在執行異常DNS的透過 TLS(DoT) 通訊。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體的行為偏離了已建立的基準。此EC2執行個體沒有與此公有 DoT 伺服器進行DNS過 TLS(DoT通訊的任何近期歷史記錄。 DoT 調查結果詳細資訊中的不尋常欄位面板可提供有關查詢 DoT 伺服器的資訊。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/AbusedDomainRequest.Reputation

EC2 執行個體正在查詢與已知濫用網域相關聯的低評價網域名稱。

預設嚴重性:中

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體正在查詢與已知濫用網域或 IP 地址相關聯的低評價網域名稱。濫用網域的範例包括頂層網域名稱 (TLDs) 和第二級網域名稱 (2LDs),提供免費子網域註冊以及動態DNS提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域,因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2執行個體可能會遭到入侵,因為威脅執行者通常會使用這些註冊商的 或服務進行 C&C 和惡意軟體分發。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 執行個體正在查詢與加密貨幣相關活動相關聯的低評價網域名稱。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體正在查詢與比特幣或其他加密貨幣相關活動相關聯的低評價網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

修復建議:

如果您使用此EC2執行個體來挖掘或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 Impact:EC2/BitcoinDomainRequest.Reputation。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則,請參閱中的隱藏規則 GuardDuty

如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 執行個體正在查詢與已知惡意網域相關聯的低評價網域。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體正在查詢與已知惡意網域或 IP 地址相關聯的低評價網域名稱。例如,網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域,對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/PortSweep

EC2 執行個體正在大量 IP 地址上探查連接埠。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您環境中列出的EC2執行個體 AWS 正在探索大量可公開路由 IP 地址的連接埠。這種類型的活動通常用於尋找易受攻擊的主機來利用。在 GuardDuty 主控台的調查結果詳細資訊面板中,只會顯示最新的遠端 IP 地址

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 執行個體正在查詢低評價網域名稱,因為其使用期限或熱門程度低,而本質上是可疑的。

預設嚴重性:低

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2執行個體正在查詢疑似惡意的低評價網域名稱。 注意到此網域的特性與先前觀察到的惡意網域一致,不過,我們的評價模型無法明確地將其與已知的威脅相關聯。這些網域通常是新觀察到的,或接收少量的流量。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Impact:EC2/WinRMBruteForce

EC2 執行個體正在執行傳出 Windows Remote Management 暴力破解攻擊。

預設嚴重性:低*

注意

如果您的EC2執行個體是暴力攻擊的目標,則此調查結果的嚴重性很低。如果您的EC2執行個體是用來執行暴力攻擊的演員,則此調查結果的嚴重性很高。

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在執行 Windows Remote Management (WinRM) 暴力攻擊,目的是在 Windows 系統上存取 Windows Remote Management 服務。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 執行個體具有未受保護EMR的相關連接埠,正由已知的惡意主機進行探測。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,安全群組、存取控制清單 (ACL) 或 Linux 等主機防火牆不會封鎖屬於您 AWS 環境中叢集之所列EC2執行個體上的EMR相關敏感連接埠IPTables。此調查結果也會通知網際網路上的已知掃描器正在主動探測此連接埠。可以觸發此調查結果的連接埠,例如連接埠 8088 (YARN Web UI 連接埠),可能用於遠端程式碼執行。

修復建議:

您應該封鎖從網際網路開放存取叢集上的連接埠,並限制只有需要存取這些連接埠的特定 IP 地址才能存取。如需詳細資訊,請參閱EMR叢集的安全群組

Recon:EC2/PortProbeUnprotectedPort

EC2 執行個體有一個未受保護的連接埠,正由已知的惡意主機探測。

預設嚴重性:低*

注意

此調查結果的預設嚴重性為「低」。不過,如果 Elasticsearch (9200 或 9300) 使用正在探查的連接埠,則調查結果的嚴重性為高。

  • 資料來源:VPC流程日誌

此調查結果會通知您,安全群組、存取控制清單 (ACL) 或 Linux 等主機防火牆不會封鎖您 AWS 環境中所列EC2執行個體上的連接埠IPTables,而且網際網路上的已知掃描器正在主動探查它。

如果已識別的未受保護連接埠是 22 或 3389,且您正在使用這些連接埠連線到您的執行個體,您仍然可以透過僅允許來自公司的網路 IP 地址空間的 IP 地址,來存取這些連接埠以限制曝光。若要在 Linux 上限制存取連接埠 22,請參閱授權 Linux 執行個體的傳入流量。若要在 Windows 上限制存取連接埠 3389,請參閱授權 Windows 執行個體的傳入流量

GuardDuty 不會為連接埠 443 和 80 產生此調查結果。

修復建議:

在某些情況下,可能會刻意暴露執行個體,例如,若是託管在 Web 伺服器上。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 Recon:EC2/PortProbeUnprotectedPort。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的準則而定。如需有關建立隱藏規則的詳細資訊,請參閱中的隱藏規則 GuardDuty

如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Recon:EC2/Portscan

EC2 執行個體正在執行遠端主機的傳出連接埠掃描。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在遭受可能的連接埠掃描攻擊,因為它嘗試在短時間內連接到多個連接埠。連接埠掃描攻擊的目的是找出開放連接埠,以探索該機器正在執行的服務並識別其作業系統。

修復建議:

當漏洞評估應用程式部署在您環境中的EC2執行個體上時,此調查結果可能是誤判,因為這些應用程式會執行連接埠掃描,以提醒您設定錯誤的開放連接埠。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 Recon:EC2/Portscan。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊,請參閱中的隱藏規則 GuardDuty

如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/BlackholeTraffic

EC2 執行個體正在嘗試與已知為黑洞的遠端主機 IP 地址通訊。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您環境中列出的EC2執行個體 AWS 可能遭到入侵,因為它嘗試與黑洞 (或深洞) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機,或未分配主機的地址。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/BlackholeTraffic!DNS

EC2 執行個體正在查詢重新導向至黑洞 IP 地址的網域名稱。

預設嚴重性:中

  • 資料來源:DNS日誌

此調查結果會通知您環境中列出的EC2執行個體 AWS 可能遭到入侵,因為它正在查詢重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DGADomainRequest.B

EC2 執行個體正在查詢演算法產生的網域。這類網域通常由惡意軟體使用,並且可能表示EC2執行個體遭到入侵。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的EC2執行個體可能會遭到入侵。

DGAs 用於定期產生大量網域名稱,這些網域名稱可透過其命令和控制 (C&C) 伺服器做為輔助點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

注意

此調查結果是以使用進階啟發式的網域名稱分析為基礎,並可能識別威脅情報摘要中不存在的新DGA網域。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DGADomainRequest.C!DNS

EC2 執行個體正在查詢演算法產生的網域。這類網域通常由惡意軟體使用,並且可能表示EC2執行個體遭到入侵。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的EC2執行個體可能會遭到入侵。

DGAs 用於定期產生大量網域名稱,這些網域名稱可透過其命令和控制 (C&C) 伺服器做為輔助點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

注意

此調查結果是以來自 威脅情報摘要 GuardDuty的已知DGA網域為基礎。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DNSDataExfiltration

EC2 執行個體正在透過DNS查詢滲透資料。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體正在執行惡意軟體,該惡意軟體使用DNS查詢進行傳出資料傳輸。這種類型的資料傳輸表示執行個體遭到入侵,並可能導致資料洩漏。 DNS 流量通常不會被防火牆封鎖。例如,遭入侵EC2的執行個體中的惡意軟體可以將資料 (例如您的信用卡號) 編碼為DNS查詢,並將其傳送至由攻擊者控制的遠端DNS伺服器。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 執行個體正在查詢遠端主機的網域名稱,而遠端主機是 Drive-By 下載攻擊的已知來源。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中列出的EC2執行個體可能遭到入侵,因為它正在查詢遠端主機的網域名稱,而該遠端主機是已知的隨插即用下載攻擊來源。這些是從網際網路上意外下載的電腦軟體,它們可以觸發病毒、間諜軟體或惡意軟體的自動安裝。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DropPoint

EC2 執行個體正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保存登入資料和其他由惡意軟體擷取的遭竊資料。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體正在嘗試與遠端主機的 IP 地址進行通訊,該遠端主機已知會保存登入資料和其他由惡意軟體擷取的遭竊資料。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/DropPoint!DNS

EC2 執行個體正在查詢遠端主機的網域名稱,該網域名稱已知會保留登入資料和其他由惡意軟體擷取的遭竊資料。

預設嚴重性:中

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體正在查詢遠端主機的網域名稱,該主機已知會保存登入資料和其他惡意軟體擷取的遭竊資料。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

Trojan:EC2/PhishingDomainRequest!DNS

EC2 執行個體正在查詢涉及網路釣魚攻擊的網域。您的EC2執行個體可能會遭到入侵。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中有一個EC2執行個體正在嘗試查詢涉及網路釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立,以誘使個人提供敏感資料,如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的EC2執行個體可能嘗試擷取存放在網路釣魚網站上的敏感資料,也可能嘗試設定網路釣魚網站。您的EC2執行個體可能會遭到入侵。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 執行個體正在連線到自訂威脅清單上的 IP 地址。

預設嚴重性:中

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體正在與您上傳的威脅清單中包含的 IP 地址通訊。在 GuardDuty 中,威脅清單是由已知的惡意 IP 地址所組成。 GuardDuty 會根據上傳的威脅清單產生問題清單。用於產生此調查結果的威脅清單會列在調查結果詳細資訊中。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 執行個體正在執行可解析為執行個體中繼資料服務的DNS查詢。

預設嚴重性:高

  • 資料來源:DNS日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體正在查詢解析為EC2中繼資料 IP 地址 (169.254.169.254) 的網域。這種DNS查詢可能表示執行個體是DNS重新繫結技術的目標。此技術可用來從EC2執行個體取得中繼資料,包括與執行個體相關聯的IAM登入資料。

DNS 重新繫結涉及欺騙在EC2執行個體上執行的應用程式從 載入傳回資料URL,其中 中的網域名稱URL解析為EC2中繼資料 IP 地址 (169.254.169.254)。這會導致應用程式存取EC2中繼資料,並可能將其提供給攻擊者。

只有在EC2執行個體正在執行允許插入 的易受攻擊應用程式URLs,或有人在EC2執行個體上執行的 Web 瀏覽器URL中存取 時,才能使用DNS重新繫結來存取EC2中繼資料。

修復建議:

為回應此調查結果,您應該評估EC2執行個體上是否有易受攻擊的應用程式正在執行,或者是否有人使用瀏覽器存取調查結果中識別的網域。如果根本原因是具漏洞的應用程式,您應該修復該漏洞。如果有人瀏覽已識別的網域,您應該封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例相關,請撤銷與EC2執行個體相關聯的工作階段

有些 AWS 客戶刻意將中繼資料 IP 地址映射到其授權DNS伺服器上的網域名稱。如果您的 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二個篩選條件應為DNS請求網域,且值應與您映射至中繼資料 IP 地址 (169.254.169.254) 的網域相符。如需建立隱藏規則的詳細資訊,請參閱中的隱藏規則 GuardDuty

UnauthorizedAccess:EC2/RDPBruteForce

EC2 執行個體已涉及RDP暴力攻擊。

預設嚴重性:低*

注意

如果您的EC2執行個體是暴力攻擊的目標,則此調查結果的嚴重性很低。如果您的EC2執行個體是用來執行暴力攻擊的演員,則此調查結果的嚴重性很高。

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體涉及暴力攻擊,目的是取得 Windows 系統上 RDP 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。

修復建議:

如果您執行個體的資源角色ACTOR,這表示您的執行個體已用於執行RDP暴力攻擊。除非該執行個體有正當理由連線列為 Target 的 IP 地址,否則建議假設您的執行個體已遭受入侵,並採取 修復可能遭到入侵的 Amazon EC2執行個體 中所列的動作。

如果您執行個體的資源角色TARGET,則此調查結果可以透過將RDP連接埠安全為僅IPs透過安全群組、 ACLs或 防火牆信任來修復。如需詳細資訊,請參閱保護EC2執行個體安全的秘訣 (Linux)

UnauthorizedAccess:EC2/SSHBruteForce

一個EC2執行個體已涉及SSH暴力攻擊。

預設嚴重性:低*

注意

如果暴力攻擊是針對您的其中一個EC2執行個體,則此調查結果的嚴重性很低。如果您的EC2執行個體用於執行暴力攻擊,則此調查結果的嚴重性很高。

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體涉及暴力攻擊,目的是取得 Linux 系統上 SSH 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。

注意

此調查結果只會透過連接埠 22 上的監控流量來產生。如果您的SSH服務設定為使用其他連接埠,則不會產生此調查結果。

修復建議:

如果暴力嘗試的目標是堡壘主機,這可能代表您 AWS 環境的預期行為。如果是這種情況,我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 UnauthorizedAccess:EC2/SSHBruteForce。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性,視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊,請參閱中的隱藏規則 GuardDuty

如果您的環境預期不會有此活動,且執行個體的資源角色TARGET,則此調查結果可以透過將SSH連接埠保護為僅IPs透過安全群組ACLs、 或 防火牆信任來修復。如需詳細資訊,請參閱保護EC2執行個體 (Linux) 安全的秘訣

如果您執行個體的資源角色ACTOR,這表示執行個體已用於執行SSH暴力攻擊。除非該執行個體有正當理由連線列為 Target 的 IP 地址,否則建議假設您的執行個體已遭受入侵,並採取 修復可能遭到入侵的 Amazon EC2執行個體 中所列的動作。

UnauthorizedAccess:EC2/TorClient

您的EC2執行個體正在與 Tor Guard 或 Authority 節點建立連線。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您環境中的EC2執行個體 AWS 正在與 Tor Guard 或 Authority 節點建立連線。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量可能表示此EC2執行個體已遭入侵,並做為 Tor 網路的用戶端。此調查結果可能表示未經授權存取您的 AWS 資源,意圖是隱藏攻擊者的真實身分。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體

UnauthorizedAccess:EC2/TorRelay

您的EC2執行個體正在以 Tor 轉送方式連線至 Tor 網路。

預設嚴重性:高

  • 資料來源:VPC流程日誌

此調查結果會通知您,您 AWS 環境中的EC2執行個體正在以暗示其做為 Tor 轉送的方式與 Tor 網路進行連線。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊,做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。

修復建議:

如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Amazon EC2執行個體