Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Jenis penemuan Runtime Monitoring

Amazon GuardDuty menghasilkan temuan Runtime Monitoring berikut untuk menunjukkan potensi ancaman berdasarkan perilaku tingkat sistem operasi dari host dan container Amazon EC2 di cluster Amazon EKS, beban kerja Fargate dan Amazon ECS, serta instans Amazon EC2.

CryptoCurrency:Runtime/BitcoinTool.B

Instans Amazon EC2 atau sebuah kontainer mengkueri alamat IP yang berhubungan dengan aktivitas terkait mata uang kripto.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika Anda menggunakan instans EC2 ini atau sebuah kontainer untuk menambang atau mengelola mata uang kripto, atau salah satunya berkaitan dengan aktivitas blockchain, temuan CryptoCurrency:Runtime/BitcoinTool.B dapat merepresentasikan aktivitas yang memang diduga untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai CryptoCurrency:Runtime/BitcoinTool.B. Kriteria filter kedua harus berupa ID instans untuk instans atau ID Citra Kontainer untuk kontainer yang digunakan dalam aktivitas terkait mata uang kripto atau blockchain. Untuk informasi lebih lanjut, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Backdoor:Runtime/C&CActivity.B

Instans Amazon EC2 atau wadah menanyakan IP yang terkait dengan server perintah dan kontrol yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan alamat IP yang terkait dengan server perintah dan kontrol (C&C) yang diketahui. Instans yang tercantum atau kontainer mungkin berpotensi disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disusupi, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan (DDoS) terdistribusi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

UnauthorizedAccess:Runtime/TorRelay

Instans Amazon EC2 Anda atau sebuah kontainer membuat koneksi ke jaringan Tor sebagai relai Tor.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda membuat koneksi ke jaringan Tor dengan cara yang menunjukkan bahwa itu bertindak sebagai relai Tor. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Tor meningkatkan anonimitas komunikasi dengan meneruskan lalu lintas klien yang kemungkinan terlarang dari satu relai Tor ke relai lainnya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

UnauthorizedAccess:Runtime/TorClient

Instans Amazon EC2 Anda atau sebuah kontainer membuat koneksi ke simpul Tor Guard atau simpul Authority.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda membuat koneksi ke Tor Guard atau node Authority. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Simpul Tor Guard dan Authority bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat menunjukkan bahwa instans EC2 atau sebuah kontainer ini berpotensi disusupi dan bertindak sebagai klien di jaringan Tor. Temuan ini mungkin menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/BlackholeTraffic

Instans Amazon EC2 atau sebuah kontainer mencoba berkomunikasi dengan alamat IP host jarak jauh yang merupakan black hole yang telah diketahui.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Black hole adalah tempat di jaringan di mana lalu lintas yang masuk atau keluar diam-diam dibuang tanpa menginformasikan sumber bahwa datanya tidak sampai ke penerima yang dimaksudkan. Alamat IP black hole menentukan mesin host yang tidak berjalan atau alamat yang tidak memiliki host yang ditetapkan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/DropPoint

Instans Amazon EC2 atau sebuah kontainer mencoba berkomunikasi dengan alamat IP host jarak jauh yang telah diketahui menyimpan kredensial dan data curian lainnya yang diambil oleh malware.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui menyimpan kredensyal dan data curian lainnya yang ditangkap oleh malware.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain yang terkait dengan aktivitas mata uang kripto.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan nama domain yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika Anda menggunakan instans atau wadah EC2 ini untuk menambang atau mengelola cryptocurrency, atau salah satu dari ini terlibat dalam aktivitas blockchain, CryptoCurrency:Runtime/BitcoinTool.B!DNS temuan ini bisa menjadi aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atibut Tipe temuan dengan nilai CryptoCurrency:Runtime/BitcoinTool.B!DNS. Kriteria filter kedua harus berupa ID Instance dari instance atau Container Image ID dari container yang terlibat dalam aktivitas cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan Penindasan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Backdoor:Runtime/C&CActivity.B!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain yang terkait dengan server perintah dan kontrol yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah dalam AWS lingkungan Anda sedang menanyakan nama domain yang terkait dengan server perintah dan kontrol (C&C) yang diketahui. Instans EC2 yang tercantum atau kontainer mungkin disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disusupi, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan (DDoS) terdistribusi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/BlackholeTraffic!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain yang diarahkan ke alamat IP black hole.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam. Black hole adalah tempat di jaringan di mana lalu lintas yang masuk atau keluar diam-diam dibuang tanpa menginformasikan sumber bahwa datanya tidak sampai ke penerima yang dimaksudkan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/DropPoint!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain host jarak jauh yang telah diketahui menyimpan kredensial dan data curian lainnya yang diambil oleh malware.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain host jarak jauh yang diketahui menyimpan kredensyal dan data curian lainnya yang ditangkap oleh malware.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/DGADomainRequest.C!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri pada domain yang dihasilkan secara algoritmik. Domain tersebut biasanya digunakan oleh malware dan bisa menjadi indikasi dari instans EC2 atau sebuah kontainer yang disusupi.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mencoba menanyakan domain algoritma pembuatan domain (DGA). Sumber daya Anda mungkin telah disusupi.

DGAs digunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya kemungkinan titik pertemuan menyulitkan untuk mematikan botnet secara efektif karena komputer yang terinfeksi berusaha menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/DriveBySourceTraffic!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain host jarak jauh yang merupakan sumber serangan pengunduhan Drive-By yang telah diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain host jarak jauh yang merupakan sumber serangan unduhan drive-by yang diketahui. Hal ini adalah pengunduhan perangkat lunak komputer yang tidak diinginkan dari internet yang dapat memicu penginstalan virus, spyware, atau malware secara otomatis.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Trojan:Runtime/PhishingDomainRequest!DNS

Instans Amazon EC2 atau sebuah kontainer mengkueri pada domain yang digunakan dalam serangan phishing.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda mencoba menanyakan domain yang terlibat dalam serangan phishing. Domain phishing dibuat oleh seseorang yang menyamar sebagai institusi yang sah untuk membujuk individu agar memberikan data sensitif, seperti informasi pengenal pribadi, detail kartu kredit dan perbankan, serta kata sandi. Instans EC2 Anda atau kontainer mungkin mencoba mengambil data sensitif yang disimpan di situs web phishing, atau mungkin mencoba menyiapkan situs web phishing. Instans EC2 Anda atau kontainer mungkin disusupi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Impact:Runtime/AbusedDomainRequest.Reputation

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain bereputasi rendah yang terkait dengan domain yang telah diketahui disalahgunakan.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain atau alamat IP yang disalahgunakan yang diketahui. Contoh domain yang disalahgunakan adalah nama domain tingkat atas (TLD) dan nama domain tingkat kedua (2LD) yang menyediakan pendaftaran subdomain gratis serta penyedia DNS dinamis. Pelaku ancaman cenderung menggunakan layanan ini untuk mendaftarkan domain secara gratis atau dengan biaya rendah. Domain bereputasi rendah dalam kategori ini mungkin juga merupakan domain kedaluwarsa yang mencari alamat IP parkir registrar dan oleh karena itu mungkin tidak lagi aktif. IP parkir adalah tempat registrar mengarahkan lalu lintas untuk domain yang belum ditautkan ke layanan apa pun. Instans Amazon EC2 yang tercantum atau kontainer dapat disusupi karena pelaku ancaman umumnya menggunakan registrar atau layanan ini untuk C&C dan distribusi malware.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain guna menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Impact:Runtime/BitcoinDomainRequest.Reputation

Sebuah instans Amazon EC2 atau sebuah kontainer mengkueri nama domain bereputasi rendah yang berhubungan dengan aktivitas terkait mata uang kripto.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain guna menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika Anda menggunakan instans EC2 ini atau wadah untuk menambang atau mengelola cryptocurrency, atau jika sumber daya ini terlibat dalam aktivitas blockchain, temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai Impact:Runtime/BitcoinDomainRequest.Reputation. Kriteria filter kedua harus berupa ID Instance dari instance atau ID Gambar Kontainer dari container terlibat dalam aktivitas terkait cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan penindasan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Impact:Runtime/MaliciousDomainRequest.Reputation

Instans Amazon EC2 atau sebuah kontainer mengkueri domain bereputasi rendah yang terkait dengan domain berbahaya yang telah diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain berbahaya atau alamat IP yang diketahui. Misalnya, domain dapat dikaitkan dengan alamat IP sinkhole yang diketahui. Domain sinkhole adalah domain yang sebelumnya dikendalikan oleh pelaku ancaman, dan permintaan yang dibuat untuk domain tersebut dapat menunjukkan bahwa instans disusupi. Domain ini juga dapat dikorelasikan dengan kampanye berbahaya atau algoritma pembuatan domain yang diketahui.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain guna menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Instans Amazon EC2 atau sebuah kontainer mengkueri nama domain bereputasi rendah yang bersifat mencurigakan karena umurnya, atau popularitas yang rendah.

Tingkat keparahan default: Rendah

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang diduga berbahaya. Karakteristik yang diamati dari domain ini konsisten dengan domain berbahaya yang diamati sebelumnya. Namun, model reputasi kami tidak dapat secara definitif menghubungkannya dengan ancaman yang diketahui. Domain ini biasanya baru diamati atau menerima jumlah lalu lintas yang rendah.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain guna menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Instans Amazon EC2 atau sebuah kontainer melakukan pencarian DNS yang di-resolve menjadi layanan metadata instans.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans EC2 yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan domain yang menyelesaikan ke alamat IP metadata EC2 (169.254.169.254). Kueri DNS semacam ini dapat menunjukkan bahwa instans adalah target dari teknik rebinding DNS. Teknik ini dapat digunakan untuk mendapatkan metadata dari instans EC2, termasuk kredensial IAM yang terkait dengan instans.

Rebinding DNS adalah proses yang menipu sebuah aplikasi yang berjalan di instans EC2 untuk memuat data pengembalian dari URL, dengan nama domain di URL tersebut di-resolve menjadi alamat IP metadata EC2 (169.254.169.254). Hal ini menyebabkan aplikasi mengakses metadata EC2 dan mungkin membuatnya tersedia untuk penyerang.

Metadata EC2 dapat diakses menggunakan rebinding DNS hanya jika instans EC2 menjalankan aplikasi rentan yang memungkinkan injeksi URL, atau jika seseorang mengakses URL di browser web yang berjalan pada instans EC2.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Menanggapi temuan ini, Anda harus mengevaluasi jika ada aplikasi rentan yang berjalan di instans EC2 atau kontainer, atau jika seseorang menggunakan browser untuk mengakses domain yang diidentifikasi dalam temuan. Jika akar penyebabnya adalah aplikasi yang rentan, perbaiki kerentanan tersebut. Jika seseorang mengakses domain yang teridentifikasi melalui browser, blokir domain tersebut atau cegah pengguna mengaksesnya. Jika Anda melihat temuan ini terkait dengan kedua kasus di atas, Anda harus Mencabut sesi yang terkait dengan instans EC2.

Beberapa AWS pelanggan sengaja memetakan alamat IP metadata ke nama domain di server DNS otoritatif mereka. Jika hal ini dilakukan di lingkungan Anda, kami menyarankan Anda untuk membuat aturan penekanan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai UnauthorizedAccess:Runtime/MetaDataDNSRebind. Kriteria filter kedua harus domain permintaan DNS atau ID Gambar Kontainer wadah. Nilai domain permintaan DNS harus sesuai dengan domain yang telah Anda petakan ke alamat IP metadata (). 169.254.169.254 Untuk informasi tentang membuat aturan penekanan, lihat Aturan penekanan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/NewBinaryExecuted

File biner yang baru dibuat atau baru saja dimodifikasi dalam kontainer telah dijalankan.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa file biner yang baru dibuat atau yang baru saja dimodifikasi, dalam wadah telah dieksekusi. Praktik terbaiknya adalah menjaga kontainer tetap bersifat imutabel pada saat runtime, dan file biner, skrip, atau pustaka tidak boleh dibuat atau dimodifikasi selama masa pakai kontainer. Perilaku ini menunjukkan bahwa pelaku berbahaya yang telah mendapatkan akses ke kontainer telah mengunduh dan menjalankan malware atau perangkat lunak lain sebagai bagian dari penyusupan yang potensial. Meskipun jenis aktivitas ini bisa menjadi indikasi adanya penyusupan, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Untuk mengidentifikasi proses modifikasi dan biner baru, lihat detail proses Modifikasi dan detail Proses

Rincian proses modifikasi termasuk dalam service.runtimeDetails.context.modifyingProcess bidang penemuan JSON, atau di bawah Proses Memodifikasi di panel rincian temuan. Untuk jenis temuan ini, proses modifikasi adalah/usr/bin/dpkg, seperti yang diidentifikasi oleh service.runtimeDetails.context.modifyingProcess.executablePath bidang temuan JSON, atau sebagai bagian dari Proses Memodifikasi di panel rincian temuan.

Rincian biner baru atau modifikasi yang dieksekusi disertakan dalam JSON temuan, atau bagian Proses di bawah rincian Runtime. service.runtimeDetails.process Untuk jenis temuan ini, biner baru atau yang dimodifikasi adalah/usr/bin/python3.8, seperti yang ditunjukkan oleh bidang service.runtimeDetails.process.executablePath (Jalur yang dapat dieksekusi).

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Sebuah proses di dalam kontainer berkomunikasi dengan daemon Docker menggunakan soket Docker.

Tingkat keparahan default: Medium

Soket Docker adalah Soket Domain Unix yang digunakan daemon Docker (dockerd) untuk berkomunikasi dengan kliennya. Sebuah klien dapat melakukan berbagai tindakan, seperti membuat kontainer dengan berkomunikasi dengan daemon Docker melalui soket Docker. Proses kontainer yang mengakses soket Docker adalah hal yang mencurigakan. Proses kontainer dapat keluar dari wadah dan mendapatkan akses tingkat host dengan berkomunikasi dengan soket Docker dan membuat wadah istimewa.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/RuncContainerEscape

Percobaan melarikan diri dari kontainer melalui runC terdeteksi.

Tingkat keparahan default: Tinggi

runC adalah runtime kontainer tingkat rendah yang digunakan runtime kontainer tingkat tinggi, seperti Docker dan Containerd untuk menelurkan dan menjalankan container. RunC selalu dieksekusi dengan hak akses root karena perlu melakukan tugas tingkat rendah untuk membuat wadah. Aktor ancaman dapat memperoleh akses tingkat host dengan memodifikasi atau mengeksploitasi kerentanan dalam biner RuNC.

Temuan ini mendeteksi modifikasi biner runC dan upaya potensial untuk mengeksploitasi kerentanan RuNC berikut:

Temuan ini mungkin menunjukkan bahwa pelaku berbahaya telah berusaha melakukan eksploitasi di salah satu jenis kontainer berikut:

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Upaya pelarian kontainer melalui agen CGroups rilis terdeteksi.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa percobaan untuk memodifikasi file agen rilis grup kontrol (cgroup) telah terdeteksi. Linux menggunakan grup kontrol (cgroup) untuk membatasi, menghitung, dan mengisolasi penggunaan sumber daya dari kumpulan proses. Setiap cgroup memiliki file agen rilis (release_agent), yaitu skrip yang dijalankan Linux ketika proses apa pun di dalam cgroup berakhir. File agen rilis selalu dijalankan di tingkat host. Pelaku ancaman di dalam kontainer dapat melarikan diri ke host dengan menulis perintah arbitrer ke file agen rilis milik cgroup. Ketika proses di dalam cgroup tersebut berakhir, perintah yang ditulis oleh pelaku akan dijalankan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/ProcessInjection.Proc

Sebuah injeksi proses menggunakan sistem file proc terdeteksi dalam kontainer atau instans Amazon EC2.

Tingkat keparahan default: Tinggi

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menginjeksi kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak akses. Sistem file proc (procfs) adalah sistem file khusus di Linux yang menyajikan memori virtual proses dalam bentuk file. Jalur file tersebut adalah /proc/PID/mem, di mana PID adalah ID unik proses tersebut. Pelaku ancaman dapat menulis ke file ini untuk menginjeksi kode ke dalam proses. Temuan ini mengidentifikasi potensi percobaan untuk menulis ke file ini.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Sebuah injeksi proses menggunakan panggilan sistem ptrace terdeteksi di dalam kontainer atau instans Amazon EC2.

Tingkat keparahan default: Medium

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menginjeksi kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak akses. Suatu proses dapat menggunakan panggilan sistem ptrace untuk menginjeksi kode ke dalam proses lain. Temuan ini mengidentifikasi potensi percobaan untuk menginjeksi kode ke dalam proses menggunakan panggilan sistem ptrace.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Sebuah injeksi proses melalui penulisan langsung ke memori virtual terdeteksi di dalam kontainer atau instans Amazon EC2.

Tingkat keparahan default: Tinggi

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menginjeksi kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak akses. Suatu proses dapat menggunakan panggilan sistem seperti process_vm_writev untuk langsung menyuntikkan kode ke memori virtual proses lain. Temuan ini mengidentifikasi upaya potensial untuk menyuntikkan kode ke dalam proses menggunakan panggilan sistem untuk menulis ke memori virtual proses.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/ReverseShell

Sebuah proses dalam sebuah kontainer atau sebuah instans Amazon EC2 telah membuat reverse shell.

Tingkat keparahan default: Tinggi

Reverse shell adalah sesi shell yang dibuat pada koneksi yang dimulai dari host target ke host pelaku. Hal ini berbeda dengan shell normal yang dimulai dari host pelaku ke host target. Pelaku ancaman membuat reverse shell untuk menjalankan perintah pada target setelah mendapatkan akses awal ke target. Temuan ini mengidentifikasi koneksi shell terbalik yang berpotensi mencurigakan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait ditemukan tidak biasa atau mencurigakan. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Agen GuardDuty keamanan memantau peristiwa dari berbagai sumber. Untuk mengidentifikasi sumber daya yang terkena dampak, lihat Jenis sumber daya di detail temuan di GuardDuty konsol. Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/FilelessExecution

Sebuah proses dalam sebuah kontainer atau sebuah instans Amazon EC2 menjalankan kode dari memori.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda saat sebuah proses dijalankan menggunakan file eksekutabel dalam memori pada disk. Hal ini adalah teknik penghindaran pertahanan umum yang tidak menulis eksekutabel berbahaya ke disk untuk menghindari deteksi berbasis pemindaian sistem file. Meskipun teknik ini biasa digunakan oleh malware, teknik ini juga memiliki beberapa kasus penggunaan yang sah. Salah satu contohnya adalah compiler just-in-time (JIT) yang menulis kode dikompilasi ke memori dan mengeksekusinya dari memori.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Impact:Runtime/CryptoMinerExecuted

Kontainer atau instans Amazon EC2 menjalankan file biner yang terkait dengan aktivitas penambangan mata uang kripto.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans atau wadah EC2 yang terdaftar di AWS lingkungan Anda mengeksekusi file biner yang terkait dengan aktivitas penambangan cryptocurrency. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol dan lihatMemperbaiki temuan Pemantauan Runtime.

Execution:Runtime/NewLibraryLoaded

Pustaka yang baru dibuat atau yang baru saja dimodifikasi telah dimuat oleh sebuah proses di dalam kontainer.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa pustaka dibuat atau dimodifikasi di dalam kontainer selama runtime dan dimuat oleh sebuah proses yang berjalan di dalam kontainer tersebut. Praktik terbaiknya adalah menjaga kontainer tetap imutabel pada saat runtime, dan tidak membuat atau memodifikasi file biner, skrip, atau pustaka selama masa pakai kontainer. Pemuatan pustaka yang baru dibuat atau dimodifikasi dalam kontainer dapat mengindikasikan aktivitas yang mencurigakan. Perilaku ini menunjukkan bahwa pelaku berbahaya kemungkinan telah mendapatkan akses ke kontainer, telah mengunduh, dan menjalankan malware atau perangkat lunak lain sebagai bagian dari penyusupan yang potensial. Meskipun jenis aktivitas ini bisa menjadi indikasi adanya penyusupan, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Sebuah proses di dalam kontainer yang melakukan mounting sistem file host pada saat runtime.

Tingkat keparahan default: Medium

Beberapa teknik pelarian kontainer memerlukan mounting sistem file host di dalam kontainer pada saat runtime. Temuan ini memberi tahu Anda bahwa proses di dalam kontainer yang berpotensi mencoba melakukan mounting sistem file host, yang mungkin menunjukkan percobaan untuk meloloskan diri menuju host.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Sebuah proses yang digunakan userfaultfd sistem panggilan untuk menangani kesalahan halaman dalam ruang pengguna.

Tingkat keparahan default: Medium

Biasanya, kesalahan halaman ditangani oleh kernel di ruang kernel. Namun, panggilan sistem userfaultfd memungkinkan sebuah proses menangani kesalahan halaman pada sistem file di ruang pengguna. Hal ini adalah fitur berguna yang memungkinkan implementasi sistem file ruang pengguna. Di sisi lain, ini juga dapat digunakan oleh proses yang berpotensi berbahaya untuk menginterupsi kernel dari ruang pengguna. Interupsi kernel menggunakan panggilan sistem userfaultfd adalah teknik eksploitasi umum untuk memperluas periode race selama eksploitasi kondisi race kernel. Penggunaan userfaultfd dapat mengindikasikan aktivitas mencurigakan pada instans Amazon Elastic Compute Cloud (Amazon EC2).

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/SuspiciousTool

Kontainer atau instans Amazon EC2 menjalankan skrip atau file biner yang sering digunakan dalam skenario keamanan ofensif seperti keterlibatan uji penetrasi.

Tingkat keparahan default: Variabel

Tingkat keparahan temuan ini bisa tinggi atau rendah, tergantung pada apakah alat mencurigakan yang terdeteksi dianggap penggunaan ganda atau hanya untuk penggunaan ofensif.

Temuan ini memberi tahu Anda bahwa alat yang mencurigakan telah dieksekusi pada instans atau wadah EC2 di lingkungan Anda. AWS Hal ini termasuk alat yang digunakan dalam keterlibatan uji penetrasi, juga disebut sebagai alat backdoor, pemindai jaringan, dan sniffer jaringan. Semua alat ini dapat digunakan dalam konteks jinak tetapi juga sering digunakan oleh pelaku ancaman dengan niat jahat. Mengamati alat keamanan ofensif dapat menunjukkan bahwa instans atau wadah EC2 terkait telah dikompromikan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada instans Amazon EC2 atau kontainer yang menunjukkan adanya penyusupan.

Tingkat keparahan default: Variabel

Bergantung pada dampak dari pola berbahaya yang diamati, tingkat keparahan jenis temuan ini bisa rendah, sedang, atau tinggi.

Temuan ini memberi tahu Anda bahwa perintah mencurigakan telah dijalankan dan ini menunjukkan bahwa instans Amazon EC2 atau wadah di lingkungan AWS Anda telah disusupi. Hal ini mungkin berarti bahwa file diunduh dari sumber yang mencurigakan kemudian dijalankan, atau proses yang sedang berjalan menampilkan pola yang diketahui berbahaya di baris perintahnya. Hal ini lebih lanjut menunjukkan bahwa malware sedang berjalan di sistem.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/SuspiciousCommand

Perintah telah dijalankan pada instans Amazon EC2 atau kontainer yang tercantum, dan mencoba memodifikasi atau menonaktifkan mekanisme pertahanan Linux, seperti firewall atau layanan sistem penting.

Tingkat keparahan default: Variabel

Bergantung pada mekanisme pertahanan mana yang telah dimodifikasi atau dinonaktifkan, tingkat keparahan jenis temuan ini bisa tinggi, sedang, atau rendah.

Temuan ini memberi tahu Anda bahwa perintah yang berusaha menyembunyikan serangan dari layanan keamanan sistem lokal, telah dijalankan. Hal ini termasuk tindakan seperti menonaktifkan firewall Unix, memodifikasi tabel IP lokal, menghapus entri crontab, menonaktifkan layanan lokal, atau mengambil alih fungsi LDPreload. Setiap modifikasi sangat mencurigakan dan merupakan potensi indikator penyusupan. Oleh karena itu, mekanisme ini mendeteksi atau mencegah penyusupan sistem lebih lanjut.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/PtraceAntiDebugging

Proses dalam kontainer atau instans Amazon EC2 telah menjalankan tindakan anti-debugging menggunakan panggilan sistem ptrace.

Tingkat keparahan default: Rendah

Temuan ini menunjukkan bahwa proses yang berjalan pada instans Amazon EC2 yang terdaftar atau wadah dalam AWS lingkungan Anda telah menggunakan panggilan sistem ptrace dengan opsi tersebut. PTRACE_TRACEME Aktivitas ini akan menyebabkan debugger terlampir terlepas dari proses yang sedang berjalan. Jika tidak ada debugger yang terlampir, maka tidak akan ada efek. Namun, aktivitas itu sendiri menimbulkan kecurigaan. Hal ini mungkin menunjukkan bahwa malware sedang berjalan di sistem. Malware sering menggunakan teknik anti-debugging untuk menghindari analisis, dan teknik ini dapat dideteksi saat runtime.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/MaliciousFileExecuted

File yang dapat dijalankan dan diketahui berbahaya telah dijalankan pada instans Amazon EC2 atau kontainer.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa executable berbahaya yang diketahui telah dieksekusi di instans Amazon EC2 atau wadah dalam lingkungan Anda. AWS Hal ini adalah indikator kuat bahwa instans atau kontainer berpotensi telah disusupi dan malware telah dijalankan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Execution:Runtime/SuspiciousShellCreated

Layanan jaringan atau proses yang dapat diakses jaringan pada instans Amazon EC2, atau dalam wadah telah memulai proses shell interaktif.

Tingkat keparahan default: Rendah

Temuan ini memberi tahu Anda bahwa layanan yang dapat diakses jaringan pada instans Amazon EC2 atau dalam wadah di AWS lingkungan Anda telah meluncurkan shell interaktif. Dalam keadaan tertentu, skenario ini dapat mengindikasikan perilaku pasca-eksploitasi. Shell interaktif memungkinkan penyerang menjalankan perintah arbitrer pada instans atau kontainer yang disusupi.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut. Anda dapat melihat informasi proses yang dapat diakses jaringan di detail proses induk.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/ElevationToRoot

Proses yang berjalan pada instans atau penampung Amazon EC2 yang terdaftar telah mengasumsikan hak akses root.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan di Amazon EC2 yang terdaftar atau dalam wadah yang terdaftar di lingkungan AWS Anda telah mengambil hak akses root melalui eksekusi biner yang tidak biasa atau setuid mencurigakan. Ini menunjukkan bahwa proses yang sedang berjalan berpotensi dikompromikan, untuk instans EC2 melalui eksploitasi, atau melalui eksploitasi. setuid Dengan menggunakan hak akses root, penyerang berpotensi mengeksekusi perintah pada instance atau container.

Meskipun GuardDuty dirancang untuk tidak menghasilkan jenis temuan ini untuk aktivitas yang melibatkan penggunaan sudo perintah secara teratur, itu akan menghasilkan temuan ini ketika mengidentifikasi aktivitas sebagai tidak biasa atau mencurigakan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Discovery:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada instans Amazon EC2 atau dalam wadah, yang memungkinkan penyerang mendapatkan informasi tentang sistem lokal, infrastruktur AWS sekitarnya, atau infrastruktur kontainer.

Tingkat keparahan default: Rendah

Fitur: Pemantauan Runtime

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans atau wadah Amazon EC2 yang terdaftar di lingkungan AWS Anda telah menjalankan perintah yang mungkin memberi penyerang informasi penting untuk berpotensi memajukan serangan. Informasi berikut mungkin telah diambil:

Instans Amazon EC2 atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di bidang service.runtimeDetails.context JSON temuan. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

Persistence:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada instans Amazon EC2 atau dalam wadah, yang memungkinkan penyerang mempertahankan akses dan kontrol di lingkungan Anda. AWS

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans Amazon EC2 yang terdaftar atau dalam wadah di lingkungan AWS Anda telah menjalankan perintah yang mencurigakan. Perintah ini menginstal metode persistensi yang memungkinkan malware berjalan tanpa gangguan, atau memungkinkan penyerang untuk terus mengakses instance atau tipe sumber daya kontainer yang berpotensi dikompromikan. Ini berpotensi berarti bahwa layanan sistem telah diinstal atau dimodifikasi, crontab telah dimodifikasi, atau pengguna baru telah ditambahkan ke konfigurasi sistem.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

Instans Amazon EC2 atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di bidang service.runtimeDetails.context JSON temuan. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

PrivilegeEscalation:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada instans Amazon EC2 atau dalam wadah, yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada instans Amazon EC2 yang terdaftar atau dalam wadah di lingkungan AWS Anda telah menjalankan perintah yang mencurigakan. Perintah mencoba untuk melakukan eskalasi hak istimewa, yang memungkinkan musuh untuk melakukan tugas-tugas hak istimewa yang tinggi.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

Instans Amazon EC2 atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memperbaiki temuan Pemantauan Runtime.

DefenseEvasion:Runtime/KernelModuleLoaded

Modul kernel dimuat pada instans Amazon EC2, yang menunjukkan upaya untuk mendapatkan akses tingkat kernel.

Tingkat keparahan default: Tinggi

Temuan ini menunjukkan bahwa sebuah modul kernel dimuat pada instans EC2 tercantum. Karena modul kernel memiliki hak akses tingkat sistem tertinggi (ring 0), ini dapat menunjukkan bahwa pelaku ancaman telah memperoleh akses tingkat kernel. Tingkat akses ini memungkinkan kontrol penuh atas sistem.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Lihat informasi yang lebih lengkap di Memperbaiki temuan Pemantauan Runtime.