Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty EC2-Suchttypen

Die folgenden Erkenntnisse sind spezifisch für Amazon-EC2-Ressourcen und haben immer einen Ressourcentyp von Instance. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Ressourcenrolle, die angibt, ob die EC2-Instance das Ziel verdächtiger Aktivitäten war oder der Akteur, der die Aktivitäten durchführte.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter GuardDuty grundlegende Datenquellen.

Für alle EC2-Erkenntnisse wird empfohlen, die betreffende Ressource zu untersuchen, um festzustellen, ob sie sich erwartungsgemäß verhält. Wenn die Aktivität autorisiert ist, können Sie Unterdrückungsregeln oder Listen vertrauenswürdiger IP-Adressen verwenden, um Falschmeldungen für diese Ressource zu verhindern. Wenn die Aktivität unerwartet auftritt, besteht die bewährte Sicherheitsmethode darin, davon auszugehen, dass die Instance kompromittiert wurde, und die unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance beschriebenen Aktionen auszuführen.

Backdoor:EC2/C&CActivity.B

Eine EC2-Instance fragt eine IP-Adresse ab, die einem bekannten Command-and-Control-Server zugeordnet wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung eine IP-Adresse abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/C&CActivity.B!DNS

Eine EC2-Instance fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Instance in Ihrer AWS -Umgebung einen Domainnamen abfragt, der einem bekannten Command-and-Control (C&C)-Server zugeordnet ist. Die aufgeführte Instance ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert und kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und zum Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/DenialOfService.Dns

Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des DNS-Protokolls genutzt wird.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden DNS-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mithilfe des DNS-Protokolls verwendet wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/DenialOfService.Tcp

Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des TCP-Protokolls genutzt wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden TCP-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mithilfe des TCP-Protokolls verwendet wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/DenialOfService.Udp

Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls genutzt wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und zur Durchführung von denial-of-service (DoS-) Angriffen unter Verwendung des UDP-Protokolls verwendet wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe des UDP-Protokolls auf einem TCP-Port genutzt wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden UDP-Datenverkehrs generiert, der auf einen Port zielt, der normalerweise für die TCP-Kommunikation verwendet wird. Dies kann darauf hindeuten, dass die aufgelistete Instanz kompromittiert ist und für denial-of-service (DoS) -Angriffe mithilfe des UDP-Protokolls auf einem TCP-Port verwendet wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/DenialOfService.UnusualProtocol

Das Verhalten einer EC2-Instance weist darauf hin, dass sie möglicherweise gerade für die Ausführung eines Denial-of-Service (DoS)-Angriffs mithilfe eines ungewöhnlichen Protokolls genutzt wird.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine große Menge ausgehenden Datenverkehrs eines ungewöhnlichen Protokolltyps generiert, der normalerweise nicht von EC2-Instances verwendet wird (beispielsweise ein Internet Group Management Protocol). Dies kann darauf hindeuten, dass die Instanz kompromittiert ist und für denial-of-service (DoS-) Angriffe mit einem ungewöhnlichen Protokoll ausgeführt wird. Diese Erkenntnis erkennt nur DoS-Angriffe auf öffentlich routingfähige IP-Adressen, die das primäre Ziel von DoS-Angriffen sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Backdoor:EC2/Spambot

Eine EC2-Instance zeigt ungewöhnliches Verhalten, indem sie mit einem Remote-Host auf Port 25 kommuniziert.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung mit einem Remote-Host auf Port 25 kommuniziert. Dieses Verhalten ist ungewöhnlich, da die betreffende EC2-Instance zuvor nicht über Port 25 kommuniziert hat. Port 25 wird in der Regel von Mailservern für die SMTP-Kommunikation verwendet. Diese Erkenntnis weist darauf hin, dass Ihre EC2-Instance möglicherweise kompromittiert ist und für das Versenden von Spam eingesetzt wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Behavior:EC2/NetworkPortUnusual

Eine EC2-Instance kommuniziert auf einem unüblichen Serverport mit einem Remote-Host.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat zuvor nicht auf diesem Remote-Port kommuniziert.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Behavior:EC2/TrafficVolumeUnusual

Eine EC2-Instance generiert ungewöhnlich große Mengen an Netzwerkdatenverkehr zu einem Remote-Host.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat bisher keine derartig hohe Menge an Datenverkehr an diesen Remote-Host gesendet.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

CryptoCurrency:EC2/BitcoinTool.B

Eine EC2-Instance fragt eine IP-Adresse ab, die mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung eine IP-Adresse abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen abfragt, die mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:EC2/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

DefenseEvasion:EC2/UnusualDNSResolver

Eine Amazon-EC2-Instance kommuniziert mit einem ungewöhnlichen öffentlichen DNS-Resolver.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit nicht mit diesem öffentlichen DNS-Resolver kommuniziert. Das Feld Ungewöhnlich im Bereich mit den Suchdetails in der GuardDuty Konsole kann Informationen über den abgefragten DNS-Resolver enthalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

DefenseEvasion:EC2/UnusualDoHActivity

Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-HTTPS-Kommunikation (DoH) durch.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-HTTPS-Kommunikation (DoH) mit diesem öffentlichen DoH-Server durchgeführt. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoH-Server enthalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

DefenseEvasion:EC2/UnusualDoTActivity

Eine Amazon-EC2-Instance führt eine ungewöhnliche DNS-über-TLS-Kommunikation (DoT) durch.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung ein Verhalten zeigt, das von ihrem normalen Verhalten abweicht. Diese EC2-Instance hat in letzter Zeit keine DNS-über-TLS-Kommunikation (DoT) mit diesem öffentlichen DoT-Server durchgeführt. Das Feld Ungewöhnlich in den Erkenntnisdetails kann Informationen über den abgefragten DoT-Server enthalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/AbusedDomainRequest.Reputation

Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der mit bekanntermaßen missbrauchten Domains in Verbindung steht.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten missbrauchten Domains oder IP-Adressen in Verbindung steht. Beispiele für missbrauchte Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgeführte Amazon-EC2-Instance kann kompromittiert sein, da Bedrohungsakteure diese Registrare oder Services häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/BitcoinDomainRequest.Reputation

Eine EC2-Instance fragt einen Domainnamen ab, der mit einer Aktivität in Zusammenhang mit einer Kryptowährung steht.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit einer Aktivität in Zusammenhang mit Bitcoin oder einer anderen Kryptowährung in Verbindung steht. Bitcoin ist ein weltweites Kryptowährungs- und digitales Zahlungssystem, das gegen andere Währungen, Produkte und Services eingetauscht werden kann. Bitcoin ist eine Belohnung für das Bitcoin-Mining und bei Bedrohungsakteuren sehr gefragt.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2-Instance verwenden, um Kryptowährung zu minen oder zu verwalten, oder diese Instance anderweitig an der Blockchain-Aktivität beteiligt ist, könnte diese Erkenntnis erwartete Aktivitäten für Ihre Umgebung repräsentieren. Wenn dies in Ihrer AWS -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Impact:EC2/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance sein, die an der Blockchain-Aktivität beteiligt ist. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/MaliciousDomainRequest.Reputation

Eine EC2-Instance fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains in Verbindung stehen.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen in Verbindung stehen. Beispielsweise können Domains mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/MaliciousDomainRequest.Custom

Eine EC2-Instance fragt eine Domain auf einer benutzerdefinierten Liste von Bedrohungsentitäten ab.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete Amazon EC2 EC2-Instance in Ihrer AWS Umgebung einen Domainnamen abfragt, der in der Liste der Bedrohungsentitäten enthalten ist, die Sie hochgeladen und aktiviert haben. In GuardDuty besteht eine Liste von Bedrohungsinstanzen aus bekannten bösartigen Domainnamen und IP-Adressen. GuardDuty generiert Ergebnisse auf der Grundlage der Aktivitäten, die mit der hochgeladenen Liste der bedrohlichen Entitäten verknüpft sind. Den Namen der Liste der bedrohlichen Entitäten finden Sie in den Ergebnisdetails.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/PortSweep

Eine EC2-Instance untersucht einen Port auf einer großen Anzahl von IP-Adressen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung einen Port auf einer großen Anzahl von öffentlich routbaren IP-Adressen untersucht. Diese Art von Aktivität wird in der Regel verwendet, um anfällige Hosts zu finden, die ausgenutzt werden können. Im Bereich mit den Ergebnisdetails in Ihrer GuardDuty Konsole wird nur die neueste Remote-IP-Adresse angezeigt

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/SuspiciousDomainRequest.Reputation

Eine EC2-Instance fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte Amazon-EC2-Instance in Ihrer AWS -Umgebung einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Es wurden Merkmale dieser Domain festgestellt, die mit zuvor beobachteten bösartigen Domains übereinstimmten. Unser Reputationsmodell konnte sie jedoch nicht definitiv mit einer bekannten Bedrohung in Verbindung bringen. Diese Domains werden in der Regel neu beobachtet oder erhalten nur wenig Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und bewertet die Eigenschaften einer Domain, um zu ermitteln, ob es sich um eine bösartige Domain handeln könnte.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Impact:EC2/WinRMBruteForce

Eine EC2-Instance führt einen ausgehenden Brute-Force-Angriff für die Windows-Remoteverwaltung durch.

Standard-Schweregrad: Niedrig*

Dieses Ergebnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung einen Windows Remote Management (WinRM)-Brute-Force-Angriff durchführt, der darauf abzielt, Zugriff auf den Windows-Remote-Management-Service auf Windows-basierten Systemen zu erhalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Recon:EC2/PortProbeEMRUnprotectedPort

Eine EC2-Instance verfügt über einen ungeschützten EMR-bezogenen Port, der von einem bekannten böswilligen Host untersucht wird.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein EMR-bezogener sensibler Port auf der aufgelisteten EC2-Instance, die Teil eines Clusters in Ihrer AWS Umgebung ist, nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine On-Host-Firewall wie Linux blockiert wird. IPTables Dieses Ergebnis gibt auch Aufschluss darüber, dass bekannte Scanner im Internet diesen Port aktiv untersuchen. Ports, die diese Erkenntnis auslösen können, z. B. Port 8088 (YARN Web-UI-Port), könnten potenziell für die Remote-Code-Ausführung genutzt werden.

Empfehlungen zur Abhilfe:

Sie sollten den offenen Zugang zu Ports auf Clustern aus dem Internet blockieren und den Zugang nur auf bestimmte IP-Adressen beschränken, die Zugang zu diesen Ports benötigen. Weitere Informationen finden Sie unter Sicherheitsgruppen für EMR-Cluster.

Recon:EC2/PortProbeUnprotectedPort

Eine EC2-Instance hat einen ungeschützten Port, der von einem bekannten böswilligen Host getestet wird.

Standard-Schweregrad: Niedrig*

Dieses Ergebnis informiert Sie darüber, dass ein Port auf der aufgelisteten EC2-Instance in Ihrer AWS Umgebung nicht durch eine Sicherheitsgruppe, eine Zugriffskontrollliste (ACL) oder eine Host-Firewall wie Linux IPTables blockiert wird und dass ihn bekannte Scanner im Internet aktiv untersuchen.

Wenn der identifizierte ungeschützte Port 22 oder 3389 ist und Sie sich über diese Ports mit Ihrer Instance verbinden, können Sie die Exposition dennoch einschränken, indem Sie den Zugriff auf diese Ports nur für die IP-Adressen aus dem IP-Adressraum Ihres Unternehmensnetzwerks zulassen. Informationen zum Einschränken des Zugriffs auf Port 22 unter Linux finden Sie unter Autorisieren von eingehendem Datenverkehr für Linux-Instances. Informationen zum Einschränken des Zugriffs auf Port 3389 unter Windows finden Sie unter Autorisieren von eingehendem Datenverkehr für Windows-Instances.

GuardDuty generiert dieses Ergebnis nicht für die Ports 443 und 80.

Empfehlungen zur Abhilfe:

In einigen Fällen werden Instances absichtlich exponiert, weil sie beispielsweise Webserver hosten. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/PortProbeUnprotectedPort verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Recon:EC2/Portscan

Eine EC2-Instance führt ausgehende Port-Scans an einem Remote-Host durch.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung an einem möglichen Port-Scan-Angriff beteiligt ist, da sie versucht, in kurzer Zeit Verbindungen zu mehreren Ports herzustellen. Das Ziel eines Port-Scan-Angriffs ist die Ermittlung offener Ports, um zu ermitteln, welche Services und welches Betriebssystem der Computer ausführt.

Empfehlungen zur Abhilfe:

Diese Erkenntnis kann falsch positiv sein, wenn Anwendungen zur Schwachstellenbewertung auf EC2-Instances in der Umgebung bereitgestellt werden, weil diese Anwendungen Port-Scans durchführen, um Sie über falsch konfigurierte offene Ports zu informieren. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert Recon:EC2/Portscan verwenden. Das zweite Filterkriterium sollte den Instances entsprechen, die diese Tools zur Schwachstellenanalyse hosten. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Wenn diese Aktivität unerwartet ist, ist Ihre Instance wahrscheinlich kompromittiert. Informationen dazu finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/BlackholeTraffic

Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, der ein bekanntes schwarzes Loch ist.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie versucht, mit der IP-Adresse eines schwarzen Lochs (oder Sink Hole) zu kommunizieren. Schwarze Löcher sind Stellen im Netzwerk, an denen ein- oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne dass die Quelle darüber informiert wird, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/BlackholeTraffic!DNS

Eine EC2-Instance fragt einen Domainnamen ab, der an eine die IP-Adresse eines schwarzen Lochs weitergeleitet wird.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass die aufgelistete EC2-Instance in Ihrer AWS Umgebung möglicherweise gefährdet ist, weil sie einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher sind Stellen im Netzwerk, an denen ein- oder ausgehender Datenverkehr unbemerkt verworfen wird, ohne dass die Quelle darüber informiert wird, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DGADomainRequest.B

Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DGADomainRequest.C!DNS

Eine EC2-Instance fragt algorithmisch generierte Domänen ab. Solche Domänen werden häufig von Malware genutzt und können auf eine kompromittierte EC2-Instance hinweisen.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung versucht, DGA (Domain Generation Algorithms)-Domains abzufragen. Ihre EC2-Instance wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die mit ihren Command-and-Control-Servern (C&C) als Treffpunkte verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domainnamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DNSDataExfiltration

Eine EC2-Instance filtert Daten durch DNS-Abfragen heraus.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung Malware ausführt, die DNS-Abfragen für ausgehende Datenübertragungen verwendet. Diese Art der Datenübertragung weist auf eine kompromittierte Instance hin und kann zur Exfiltration von Daten führen. DNS-Datenverkehr wird in der Regel nicht durch Firewalls gesperrt. So kann beispielsweise Malware in einer kompromittierten EC2-Instance Daten verschlüsseln (z. B. Ihre Kreditkartennummer) und in einer DNS-Abfrage an einen entfernten DNS-Server senden, der von einem Angreifer gesteuert wird.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DriveBySourceTraffic!DNS

Eine EC2-Instance fragt einen Domainnamen eines Remote-Host ab, der eine bekannte Quelle von Drive-By-Downloadangriffen ist.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie, dass die aufgeführte EC2-Instance in Ihrer AWS -Umgebung möglicherweise kompromittiert wurde, da Sie einen Domainnamen von einem Remote-Host abfragt, der eine bekannte Quelle von Drive-By-Download-Angriffen ist. Hierbei handelt es sich um unbeabsichtigte Downloads von Computersoftware aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen kann.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DropPoint

Eine EC2-Instance versucht, mit einer IP-Adresse eines Remote-Hosts zu kommunizieren, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, auf dem sich bekanntermaßen Anmeldeinformationen und andere gestohlene Daten befinden, die von Malware erfasst wurden.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/DropPoint!DNS

Eine EC2-Instance fragt einen Domainnamen eines Remote-Hosts ab, von dem bekannt ist, dass er Anmeldedaten und andere mithilfe von Malware gestohlene Daten enthält.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung den Domainnamen eines Remote-Hosts abfragt, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

Trojan:EC2/PhishingDomainRequest!DNS

Eine EC2-Instance fragt Domänen ab, die an Phishing-Angriffen beteiligt sind. Ihre EC2-Instance wurde möglicherweise kompromittiert.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS -Umgebung versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domains werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2-Instance versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder sie versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2-Instance wurde möglicherweise kompromittiert.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Eine EC2-Instance stellt Verbindungen zu einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste her.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung mit einer IP-Adresse kommuniziert, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In GuardDuty besteht eine Bedrohungsliste aus bekannten schädlichen IP-Adressen. GuardDuty generiert Ergebnisse basierend auf hochgeladenen Bedrohungslisten. Die Bedrohungsliste, die zum Generieren dieser Suche verwendet wird, ist in den Erkenntnisdetails aufgeführt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

UnauthorizedAccess:EC2/MetadataDNSRebind

Eine EC2-Instance führt DNS-Abrufe durch, die in den Instance-Metadatenservice aufgelöst werden.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung eine Domain abfragt, die in die EC2-Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Neubindung-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2-Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.

Bei der DNS-Neubindung wird eine Anwendung, die auf der EC2-Instance läuft, dazu gebracht, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die IP-Adresse der EC2-Metadaten (169.254.169.254) aufgelöst wird. Dies bewirkt, dass die Anwendung auf EC2-Metadaten zugreift und sie möglicherweise für den Angreifer verfügbar macht.

Der Zugriff auf EC2-Metadaten mit DNS-Neubindung ist nur möglich, wenn auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, die das Einfügen von URLs ermöglicht, oder wenn ein menschlicher Benutzer in einem Webbrowser, der auf der EC2-Instance ausgeführt wird, auf die URL zugreift.

Empfehlungen zur Abhilfe:

Prüfen Sie als Reaktion auf diese Erkenntnis, ob auf der EC2-Instance eine anfällige Anwendung ausgeführt wird, oder ob ein menschlicher Benutzer über einen Browser auf die im Ergebnis angegebene Domain zugegriffen hat. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Benutzer die identifizierte Domain aufgerufen hat, blockieren Sie die Domain oder verhindern Sie, dass Benutzer darauf zugreifen. Wenn Sie in dieser Erkenntnis einen Zusammenhang mit einem der obigen Fälle feststellen, sollten Sie die der EC2-Instance zugeordnete Sitzung widerrufen.

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für diese Erkenntnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Eine EC2-Instance war an RDP-Brute-Force-Angriffen beteiligt.

Standard-Schweregrad: Niedrig*

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für RDP-Dienste auf Windows-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen.

Empfehlungen zur Abhilfe:

Wenn die Ressourcenrolle Ihrer Instance ACTOR lautet, bedeutet dies, dass Ihre Instance zum Ausführen von RDP-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance aufgeführten Maßnahmen zu ergreifen.

Wenn die Ressourcenrolle Ihrer Instance lautetTARGET, kann dieses Problem behoben werden, indem Sie Ihren RDP-Port so sichern, dass er nur IPs über Sicherheitsgruppen oder Firewalls vertrauenswürdig ist. ACLs Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2-Instances (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Eine EC2-Instance war an SSH-Brute-Force-Angriffen beteiligt.

Standard-Schweregrad: Niedrig*

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung an einem Brute-Force-Angriff beteiligt war, der darauf abzielte, Passwörter für SSH-Dienste auf Linux-basierten Systemen zu erhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen.

Empfehlungen zur Abhilfe:

Wenn das Ziel des Brute-Force-Versuchs ein Bastion-Host ist, kann dies ein erwartetes Verhalten für Ihre Umgebung sein. AWS In diesem Fall sollten Sie für diese Erkenntnis eine Unterdrückungsregel einrichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert UnauthorizedAccess:EC2/SSHBruteForce verwenden. Das zweite Filterkriterium sollte der oder den Instances entsprechen, die als Bastion-Host eingesetzt werden. Sie können entweder das Attribut Instance-Image-ID oder das Attribut Tag verwenden, abhängig davon, welches Kriterium mit den Instances identifiziert werden kann, die diese Tools hosten. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Falls diese Aktivität für Ihre Umgebung nicht erwartet wird und die Ressourcenrolle Ihrer Instance bereits verwendet wirdTARGET, können Sie dieses Problem beheben, indem Sie Ihren SSH-Port so sichern, ACLs dass er nur IPs über Sicherheitsgruppen oder Firewalls vertrauenswürdig ist. Weitere Informationen finden Sie unter Tipps zur Sicherung Ihrer EC2-Instances (Linux).

Wenn die Ressourcenrolle Ihrer Instance ACTOR lautet, bedeutet dies, dass die Instance zum Ausführen von SSH-Brute-Force-Angriffen verwendet wurde. Außer, wenn diese Instance einen legitimen Grund hat, die IP-Adresse zu kontaktieren, die als Target aufgeführt ist, wird empfohlen, davon auszugehen, dass Ihre Instance kompromittiert wurde, und die in Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance aufgeführten Maßnahmen zu ergreifen.

UnauthorizedAccess:EC2/TorClient

Ihre EC2-Instance stellt Verbindungen mit einem Tor Guard oder einem Authority-Knoten her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert dich darüber, dass eine EC2-Instance in deiner AWS Umgebung Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Datenverkehr kann darauf hinweisen, dass diese EC2-Instance als Client in einem Tor-Netzwerk fungiert. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

UnauthorizedAccess:EC2/TorRelay

Ihre EC2-Instance stellt Verbindungen mit einem Tor-Netzwerk als Tor-Relais her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2-Instance in Ihrer AWS Umgebung Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass sie als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor-Relays erhöhen die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relay zu einem anderen weiterleiten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.