Lambda 保護調查結果類型 - Amazon GuardDuty
Backdoor:Lambda/C&CActivity.BCryptoCurrency:Lambda/BitcoinTool.BTrojan:Lambda/BlackholeTrafficTrojan:Lambda/DropPointUnauthorizedAccess:Lambda/MaliciousIPCaller.CustomUnauthorizedAccess:Lambda/TorClientUnauthorizedAccess:Lambda/TorRelay

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Lambda 保護調查結果類型

本節說明 AWS Lambda 資源特有的調查結果類型,並將 resourceType列為 Lambda。對於所有 Lambda 調查結果,我們建議您檢查有問題的資源,並判斷該資源是否以預期的方式運作。如果活動獲得授權,您可以使用隱藏規則受信任的 IP 和威脅清單,來防止該資源的誤判通知。

如果活動是非預期的結果,安全性最佳實務是假設 Lambda 可能遭到破壞,並遵循修復建議。

Backdoor:Lambda/C&CActivity.B

Lambda 函數正在查詢與已知命令和控管伺服器相關聯的 IP 地址。

預設嚴重性:高

  • 功能:Lambda 網路活動監控

此調查結果會通知您, AWS 環境中列出的 Lambda 函數正在查詢與已知命令和控制 (C&C) 伺服器相關聯的 IP 地址。與產生的調查結果相關聯的 Lambda 函數可能遭到破壞。C&C 伺服器是對殭屍網路的成員發出命令的電腦。

殭屍網路是網際網路連線裝置的集合,可能包含 PCs、伺服器、行動裝置和物聯網裝置,這些裝置受到常見惡意軟體類型的感染和控制。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令,來展開分散式阻斷服務。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

CryptoCurrency:Lambda/BitcoinTool.B

Lambda 函數正在查詢與加密貨幣相關活動有關聯的 IP 地址。

預設嚴重性:高

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在查詢與 Bitcoin 或其他加密貨幣相關活動相關聯的 IP 地址。威脅參與者可能會尋求 Lambda 函數的控制權,目的是惡意地重新利用這些函數進行未經授權的加密貨幣挖掘。

修復建議:

如果您使用此 Lambda 函數來挖掘或管理加密貨幣,或者此函數以其他方式參與區塊鏈活動,則此函數可能是您環境的預期活動。如果您的 AWS 環境中發生這種情況,建議您為此調查結果設定禁止規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用值為 的調查結果類型屬性 CryptoCurrency:Lambda/BitcoinTool.B。 第二個篩選條件應為區塊鏈活動所涉及函數的 Lambda 函數名稱。如需有關建立隱藏規則的詳細資訊,請參閱隱藏規則

如果此活動是非預期的結果,則 Lambda 函數可能會遭到破壞。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

Trojan:Lambda/BlackholeTraffic

Lambda 函數正在嘗試與已知黑洞的遠端主機 IP 地址進行通訊。

預設嚴重性:中

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在嘗試與黑洞 (或水槽孔) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 地址會指定為未執行的主機,或未分配主機的地址。列出的 Lambda 函數可能遭到破壞。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

Trojan:Lambda/DropPoint

Lambda 函數正在嘗試與遠端主機的 IP 地址進行通信,該主機已知會保存由惡意軟體擷取的憑證和其他遭竊資料。

預設嚴重性:中

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保存憑證和惡意軟體擷取的其他遭竊資料。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda 函數正在連線至自訂威脅清單上的 IP 地址。

預設嚴重性:中

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在與您上傳的威脅清單中包含的 IP 地址通訊。在 中 GuardDuty,威脅清單由已知的惡意 IP 地址組成。 會根據上傳的威脅清單 GuardDuty 產生調查結果。您可以在主控台的調查結果詳細資訊中檢視威脅清單的詳細資訊 GuardDuty。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

UnauthorizedAccess:Lambda/TorClient

Lambda 函數正在連線至 Tor Guard 或 Authority 節點。

預設嚴重性:高

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在與 Tor Guard 或 Authority 節點建立連線。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量可能表示此 Lambda 函數已可能遭到破壞。其現在作為 Tor 網路上的用戶端。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數

UnauthorizedAccess:Lambda/TorRelay

Lambda 函數正在連線至 Tor 網路,且連線方式為顯示為代表 Tor 轉送。

預設嚴重性:高

  • 功能:Lambda 網路活動監控

此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在以暗示其作為 Tor 轉送的方式與 Tor 網路進行連線。Tor 是一種啟用匿名通訊的軟體。Tor 允許匿名通訊,做法是從某個 Tor 轉送將用戶端潛在非法流量轉寄至另一個 Tor 轉送。

修復建議:

如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵的 Lambda 函數