GuardDuty EC2 調查結果類型

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

以下調查結果專用於 Amazon EC2 資源，而且一律具有 Instance 的資源類型。調查結果的嚴重性和詳細資訊會根據資源角色而有所不同，資源角色會指出 EC2 資源是可疑活動的目標，還是執行活動的執行者。

此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需有關資料來源和模型的詳細資訊，請參閱GuardDuty 基礎資料來源。

對於所有 EC2 調查結果，建議您檢查有問題的資源，以確定它是否以預期的方式運行。如果活動獲得授權，您可以使用隱藏規則或受信任的 IP 清單來防止該資源的誤判通知。如果活動是非預期的，安全最佳實務是假設執行個體已遭入侵，並採取修復可能遭到入侵的 Amazon EC2 執行個體中詳述的動作。

Backdoor:EC2/C&CActivity.B

EC2 執行個體正在查詢與已知為命令和控管伺服器相關聯的 IP。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的 IP。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合，可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊，像是信用卡號碼。根據殭屍網路的用途和結構而定，C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/C&CActivity.B!DNS

EC2 執行個體正在查詢與已知為命令和控管伺服器相關聯的網域名稱。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的網域名稱。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合，可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊，像是信用卡號碼。根據殭屍網路的用途和結構而定，C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/DenialOfService.Dns

EC2 執行個體的表現方式，可能表示它被用來執行利用 DNS 通訊協定的阻斷服務 (DoS) 攻擊。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 DNS 流量。這可能表示列出的執行個體被盜用，並用來執行利用 DNS 通訊協定的阻斷服務 (DoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/DenialOfService.Tcp

EC2 執行個體的表現方式，表示它正用來執行利用 TCP 通訊協定的阻斷服務 (DoS) 攻擊。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 TCP 流量。這可能表示該執行個體被盜用，並用來執行利用 TCP 通訊協定的阻斷服務 (DoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/DenialOfService.Udp

EC2 執行個體的表現方式，表示它正用來執行利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 UDP 流量。這可能表示列出的執行個體被盜用，並用來執行利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 執行個體的表現方式，可能表示它被用來執行在 TCP 連接埠上利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正產生大量的傳出 UDP 流量，而這些流量是以 TCP 通訊常用的連接埠為目標。這可能表示列出的執行個體被盜用，並用來執行在 TCP 連接埠上利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 執行個體的表現方式，可能表示它被用來執行利用不常見通訊協定的阻斷服務 (DoS) 攻擊。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正從不常見的通訊協定類型產生傳出大量流量，EC2 執行個體通常不會使用該通訊協定 (例如，網際網路組管理協定)。這可能表示該執行個體被盜用，並用來執行利用不常見通訊協定的阻斷服務 (DoS) 攻擊。此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Backdoor:EC2/Spambot

EC2 執行個體正在連接埠 25 上與遠端主機通訊，此舉展現出不尋常的行為。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在與連接埠 25 上的遠端主機進行通訊。此行為並不尋常，因為此 EC2 執行個體先前並沒有在連接埠 25 上通訊的歷程記錄。連接埠 25 以往是郵件伺服器進行 SMTP 通訊時使用。此調查結果表示您的 EC2 執行個體可能已遭受入侵，無法用於傳送垃圾郵件。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Behavior:EC2/NetworkPortUnusual

EC2 執行個體正在不尋常的伺服器連接埠上與遠端主機通訊。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體先前並沒有在此遠端連接埠上通訊的歷程記錄。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Behavior:EC2/TrafficVolumeUnusual

EC2 執行個體與遠端主機之間產生異常大量的網路流量。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體先前並沒有傳送如此大流量至此遠端主機的歷程記錄。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

CryptoCurrency:EC2/BitcoinTool.B

EC2 執行個體正在查詢與加密貨幣活動有關聯的 IP 地址。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的 IP 地址。比特幣是一種全球性的加密貨幣和數位支付系統，可以用來兌換其他貨幣，產品和服務。比特幣是比特幣開採的獎勵，受到威脅參與者的高度追捧。

修復建議：

如果您使用此 EC2 執行個體來開採或管理加密貨幣，或者此執行個體以其他方式參與區塊鏈活動，則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 CryptoCurrency:EC2/BitcoinTool.B。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則，請參閱GuardDuty 中的隱藏規則。

如果此活動非預期，表示您的執行個體可能遭到破壞，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 執行個體正在查詢與加密貨幣活動有關聯的網域名稱。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統，可以用來兌換其他貨幣，產品和服務。比特幣是比特幣開採的獎勵，受到威脅參與者的高度追捧。

修復建議：

如果您使用此 EC2 執行個體來開採或管理加密貨幣，或者此執行個體以其他方式參與區塊鏈活動，則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 CryptoCurrency:EC2/BitcoinTool.B!DNS。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則，請參閱GuardDuty 中的隱藏規則。

如果此活動非預期，表示您的執行個體可能遭到破壞，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

DefenseEvasion:EC2/UnusualDNSResolver

Amazon EC2 執行個體正在與一個不尋常的公有 DNS 解析程式進行通訊。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在進行與既有基準行為不同的行為。此 EC2 執行個體最近沒有與此公有 DNS 解析程式通訊的歷史記錄。GuardDuty 主控台中調查結果詳細資訊面板中的不尋常欄位可提供有關查詢 DNS 解析程式的資訊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2 執行個體正在通過 HTTPS (DoH) 通訊執行不尋常的 DNS。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體沒有任何最近透過 HTTPS (DoH) 與此公有 DoH 伺服器通訊的 DNS 歷史記錄。調查結果詳細資訊中的不尋常欄位可提供有關查詢 DoH 伺服器的資訊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2 執行個體正在通過 TLS (DoT) 通訊執行不尋常的 DNS。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體沒有任何最近透過 TLS (DoT) 與此公有 DoT 伺服器通訊的 DNS 歷史記錄。調查結果詳細資訊中的不尋常欄位面板可提供有關查詢 DoT 伺服器的資訊。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/AbusedDomainRequest.Reputation

EC2 執行個體正在查詢與已知濫用網域相關聯的低信譽網域名稱。

預設嚴重性：中

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與已知濫用網域或 IP 地址相關聯的低信譽網域名稱。濫用網域的範例包括頂層網域名稱 (TLD) 和第二層網域名稱 (2LD)，提供免費的子網域註冊，以及動態 DNS 提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域，因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2 執行個體可能已遭入侵，因為威脅參與者通常使用這些註冊機構或服務進行 C&C 和惡意軟體分發。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 執行個體正在查詢與加密貨幣活動有關聯的低信譽網域名稱。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的低信譽網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統，可以用來兌換其他貨幣，產品和服務。比特幣是比特幣開採的獎勵，受到威脅參與者的高度追捧。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

修復建議：

如果您使用此 EC2 執行個體來開採或管理加密貨幣，或者此執行個體以其他方式參與區塊鏈活動，則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境是這種情況，建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 Impact:EC2/BitcoinDomainRequest.Reputation。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 Instance ID (執行個體 ID)。若要進一步了解如何建立隱藏規則，請參閱GuardDuty 中的隱藏規則。

如果此活動非預期，表示您的執行個體可能遭到破壞，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 執行個體正在查詢與已知惡意網域相關聯的低信譽網域。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與已知惡意網域或 IP 地址相關聯的低信譽網域名稱。例如，網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域，對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/PortSweep

EC2 執行個體正在探查大量 IP 地址上的連接埠。

預設嚴重性：高

此調查結果會通知您，您 AWS 環境中列出的 EC2 執行個體正在探索大量可公開路由 IP 地址的連接埠。這種類型的活動通常用於尋找易受攻擊的主機來利用。在 GuardDuty 主控台的調查結果詳細資訊面板中，只會顯示最新的遠端 IP 地址

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 執行個體正在查詢低信譽的網域名稱，該網域名稱本質上因其使用期限或低受歡迎程度而可疑。

預設嚴重性：低

此調查結果會通知您，列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢疑似惡意的低信譽網域名稱。注意到該網域的特徵與先前觀察到的惡意網域一致，但是，我們的聲譽模型無法明確地將其與已知威脅聯繫起來。這些網域通常是新觀察到的，或接收少量的流量。

低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名，以判斷其為惡意的可能性。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Impact:EC2/WinRMBruteForce

EC2 執行個體正在執行傳出 Windows 遠端管理暴力破解攻擊。

預設嚴重性：低*

此調查結果項目會通知您，列出的 AWS 環境中的 EC2 執行個體正在執行 Windows 遠端管理 (WinRM) 暴力攻擊，旨在取得 Windows 系統上對 Windows 遠端管理服務的存取權。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 執行個體有一個未受保護的 EMR 相關連接埠，正由已知的惡意主機探測。

預設嚴重性：高

此調查結果會通知您，安全群組、存取控制清單 (ACL) 或 Linux IPTables 等主機防火牆不會封鎖屬於您 AWS 環境中叢集一部分的所列 EC2 執行個體上的 EMR 相關敏感連接埠。此調查結果也會通知網際網路上的已知掃描器正在主動探測此連接埠。觸發此調查結果的連接埠 (如連接埠 8088 (YARN Web UI 連接埠))，可能會被用來遠端執行程式碼。

修復建議：

您應該封鎖從網際網路開放存取叢集上的連接埠，並限制只有需要存取這些連接埠的特定 IP 地址才能存取。如需詳細資訊，請參閱 EMR 叢集的安全群組。

Recon:EC2/PortProbeUnprotectedPort

EC2 執行個體有一個未受保護的連接埠，正由已知的惡意主機探測。

預設嚴重性：低*

此調查結果項目會通知您，列出的 AWS 環境中的 EC2 執行個體上的連接埠未由安全群組、存取控制清單 (ACL) 或主機上的防火牆 (例如 Linux IPTables) 以及網際網路上的已知掃描程式封鎖，且正在被積極的探測。

如果已識別的未受保護連接埠是 22 或 3389，且您正在使用這些連接埠連線到您的執行個體，您仍然可以透過僅允許來自公司的網路 IP 地址空間的 IP 地址，來存取這些連接埠以限制曝光。若要在 Linux 上限制存取連接埠 22，請參閱授權 Linux 執行個體的傳入流量。若要在 Windows 上限制存取連接埠 3389，請參閱授權 Windows 執行個體的傳入流量。

GuardDuty 不會為連接埠 443 和 80 產生此調查結果。

修復建議：

在某些情況下，可能會刻意暴露執行個體，例如，若是託管在 Web 伺服器上。如果您的 AWS 環境中發生這種情況，我們建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 Recon:EC2/PortProbeUnprotectedPort。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的準則而定。如需有關建立隱藏規則的詳細資訊，請參閱GuardDuty 中的隱藏規則。

如果此活動非預期，表示您的執行個體可能遭到破壞，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Recon:EC2/Portscan

EC2 執行個體正在對遠端主機執行傳出連接埠掃描。

預設嚴重性：中

此調查結果項目會通知您，列出的 AWS 環境中的 EC2 執行個體已遭受可能的連接埠掃描攻擊，因為它正試圖在短時間內連接到多個連接埠。連接埠掃描攻擊的目的是找出開放連接埠，以探索該機器正在執行的服務並識別其作業系統。

修復建議：

當漏洞評定應用程式部署在環境中的 EC2 執行個體上時，此調查結果可能是誤判，因為這些應用程式會執行連接埠掃描，以警告您開放連接埠設定不當。如果您的 AWS 環境中發生這種情況，我們建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 Recon:EC2/Portscan。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊，請參閱GuardDuty 中的隱藏規則。

如果此活動非預期，表示您的執行個體可能遭到破壞，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/BlackholeTraffic

EC2 執行個體正在嘗試與已知黑洞的遠端主機 IP 地址進行通訊。

預設嚴重性：中

此調查結果會通知您環境中列出的 EC2 執行個體 AWS 可能已遭入侵，因為它嘗試與黑洞 （或深洞） 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方，且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機，或未分配主機的地址。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/BlackholeTraffic!DNS

EC2 執行個體正在查詢重新導向到黑洞 IP 地址的網域名稱。

預設嚴重性：中

此調查結果會通知您環境中列出的 EC2 執行個體 AWS 可能遭到入侵，因為它正在查詢重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方，且資料來源也不會收到資料未傳送至收件人的通知。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DGADomainRequest.B

EC2 執行個體正在查詢演算法產生的網域。這種網域常遭惡意軟體利用，且可以做為 EC2 執行個體已被盜用的跡象。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的 EC2 執行個體可能遭到盜用。

DGA 可用來定期產生大量網域名稱，這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦，這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路，因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DGADomainRequest.C!DNS

EC2 執行個體正在查詢演算法產生的網域。這種網域常遭惡意軟體利用，且可以做為 EC2 執行個體已被盜用的跡象。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的 EC2 執行個體可能遭到盜用。

DGA 可用來定期產生大量網域名稱，這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦，這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路，因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DNSDataExfiltration

EC2 執行個體是透過 DNS 查詢移植資料的。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體正在執行使用 DNS 查詢的惡意軟體，進行對外資料傳輸。這種類型的資料傳輸表示執行個體遭到入侵，可能導致資料外洩。DNS 流量通常不會被防火牆阻擋。例如，遭侵入 EC2 執行個體中的惡意軟體可以將資料 (例如，您的信用卡號) 編碼到 DNS 查詢中，並將它傳送到攻擊者所控制的遠端 DNS 伺服器。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 執行個體正在查詢已知為 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。

預設嚴重性：高

此調查結果會通知您，列出的 AWS 環境中的 EC2 執行個體可能會遭入侵，因為它正在查詢已知為 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。這些是從網際網路上意外下載的電腦軟體，它們可以觸發病毒、間諜軟體或惡意軟體的自動安裝。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DropPoint

EC2 執行個體正在嘗試與遠端主機的 IP 地址進行通信，該主機已知會保存由惡意軟體擷取的登入資料和其他遭竊資料。

預設嚴重性：中

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體正在嘗試與遠端主機的 IP 地址進行通訊，該遠端主機已知會保存登入資料和惡意軟體擷取的其他遭竊資料。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/DropPoint!DNS

EC2 執行個體正在查詢遠端主機的網域名稱，該主機已知會保存由惡意軟體擷取的登入資料和其他遭竊資料。

預設嚴重性：中

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體正在查詢遠端主機的網域名稱，已知該主機會保存登入資料和其他由惡意軟體擷取的遭竊資料。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

Trojan:EC2/PhishingDomainRequest!DNS

EC2 執行個體正在查詢遭釣魚攻擊的網域。您的 EC2 執行個體可能遭到盜用。

預設嚴重性：高

此調查結果會通知您，在 AWS 環境中有一個 EC2 執行個體正在嘗試查詢遭釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立，以誘使個人提供敏感資料，如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的 EC2 執行個體可能試圖擷取儲存在釣魚網站上的敏感資料，或者嘗試設定網路釣魚網站。您的 EC2 執行個體可能遭到盜用。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 執行個體正在連線到自訂威脅清單上的 IP 地址。

預設嚴重性：中

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體正在與您上傳的威脅清單中包含的 IP 地址通訊。在 GuardDuty 中，威脅清單包含已知的惡意 IP 地址。GuardDuty 會根據上傳的威脅清單產生調查結果。用於產生此調查結果的威脅清單會列在調查結果詳細資訊中。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 執行個體正在執行 DNS 查詢，以解析執行個體中繼資料服務。

預設嚴重性：高

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體正在查詢解析為 EC2 中繼資料 IP 地址 (169.254.169.254 的網域）。這種類型的 DNS 查詢可能表示執行個體是 DNS 重新繫結技術的目標。此技術可用於從 EC2 執行個體獲取中繼資料，包含與執行個體相關聯的 IAM 憑證。

DNS 重新繫結涉及誘使在 EC2 執行個體上執行的應用程式從 URL 載入傳回資料，URL 中的網域名稱解析為 EC2 中繼資料的 IP 地址 (169.254.169.254)。這會導致應用程式存取 EC2 中繼資料，並可能讓攻擊者能夠使用。

只有在 EC2 執行個體執行的具漏洞應用程式允許注入 URL，或有人在 EC2 執行個體上執行的 Web 瀏覽器存取 URL 時，才可能使用 DNS 重新繫結存取 EC2 中繼資料。

修復建議：

為了回應此調查結果，您應該評估是否有在 EC2 執行個體上執行的具漏洞應用程式，或是有人使用瀏覽器存取調查結果中所識別的網域。如果根本原因是具漏洞的應用程式，您應該修復該漏洞。如果有人瀏覽已識別的網域，您應該封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例有關，請撤銷與 EC2 執行個體相關聯的工作階段。

有些 AWS 客戶刻意將中繼資料 IP 地址映射到其授權 DNS 伺服器上的網域名稱。如果您的 環境是這種情況，建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 UnauthorizedAccess:EC2/MetaDataDNSRebind。第二個篩選條件應該是 DNS request domain (DNS 請求網域)，而且值應該符合您對應至中繼資料 IP 地址 (169.254.169.254) 的網域。如需建立隱藏規則的詳細資訊，請參閱GuardDuty 中的隱藏規則。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 執行個體已遭受 RDP 暴力密碼破解攻擊。

預設嚴重性：低*

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體涉及暴力攻擊，旨在取得 Windows 系統上 RDP 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。

修復建議：

如果您執行個體的資源角色是 ACTOR，這表示您的執行個體已用於執行 RDP 暴力密碼破解攻擊。除非該執行個體有正當理由連線列為 Target 的 IP 地址，否則建議假設您的執行個體已遭受入侵，並採取 修復可能遭到入侵的 Amazon EC2 執行個體 中所列的動作。

如果執行個體的資源角色 為 TARGET，可透過安全群組、ACL 或防火牆，僅針對可信任 IP 保護您的 SSH 連接埠，從而修復此調查結果。如需詳細資訊，請參閱 Tips for securing your EC2 instances (Linux)。

UnauthorizedAccess:EC2/SSHBruteForce

EC2 執行個體已遭受 SSH 暴力密碼破解攻擊。

預設嚴重性：低*

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體涉及暴力攻擊，旨在取得 Linux 系統上 SSH 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。

修復建議：

如果暴力嘗試的目標是堡壘主機，這可能代表您 AWS 環境的預期行為。如果是這種情況，我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性，其值為 UnauthorizedAccess:EC2/SSHBruteForce。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用執行個體映像 ID 屬性或標籤值屬性，視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊，請參閱GuardDuty 中的隱藏規則。

如果預計您的環境不會有這項活動，而且執行個體的 Resource Role (資源角色) 為 TARGET，可透過安全群組、ACL 或防火牆，僅針對可信任 IP 保護您的 SSH 連接埠，從而修復此調查結果。如需詳細資訊，請參閱 Tips for securing your EC2 instances (Linux)。

如果您執行個體的資源角色 是 ACTOR，這表示執行個體已用於執行 SSH 暴力密碼破解攻擊。除非該執行個體有正當理由連線列為 Target 的 IP 地址，否則建議假設您的執行個體已遭受入侵，並採取 修復可能遭到入侵的 Amazon EC2 執行個體 中所列的動作。

UnauthorizedAccess:EC2/TorClient

您的 EC2 執行個體正在連線至 Tor Guard 或 Authority 節點。

預設嚴重性：高

此調查結果會通知您環境中的 EC2 執行個體 AWS 正在與 Tor Guard 或 Authority 節點建立連線。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量表示此 EC2 執行個體已洩露且做為 Tor 網路的用戶端。此調查結果可能表示未經授權存取您的 AWS 資源，意圖為隱藏攻擊者的真實身分。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

UnauthorizedAccess:EC2/TorRelay

您的 EC2 執行個體正在連線至 Tor 網路，且連線方式為顯示為代表 Tor 轉送。

預設嚴重性：高

此調查結果會通知您，您 AWS 環境中的 EC2 執行個體正在以建議其做為 Tor 轉送的方式連線到 Tor 網路。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊，做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。

修復建議：

如果此活動為非預期活動，即代表您的執行個體可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。