本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 停用的调查发现类型
调查结果是一个通知,包含有关 GuardDuty 发现的潜在安全问题的详细信息。有关对 GuardDuty 查找结果类型进行重要更改(包括新添加或已停用的查找类型)的信息,请参见[Amazon 的文档历史记录 GuardDuty](doc-history.md)。
以下查找类型已停用,不再由生成 GuardDuty。
**重要**
您无法重新激活已停用的 GuardDuty 查找类型。
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM 实体以可疑的方式调用了 S3 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉您,您 AWS 环境中的一个 IAM 实体正在进行 API 调用,这些调用涉及 S3 存储桶,并且与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Impact:S3/PermissionsModification.Unusual
### IAM 实体调用了一个 API,来修改一个或多个 S3 资源的权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
此调查发现通知您,IAM 实体正在进行 API 调用,意图修改 AWS 环境中一个或多个存储桶或对象的权限。攻击者可能执行此操作,允许在账户外部共享信息。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Impact:S3/ObjectDelete.Unusual
### IAM 实体调用了一个 API,该 API 用于删除 S3 桶中数据的。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现告诉您,您的 AWS 环境中的一个特定 IAM 实体正在进行 API 调用,旨在通过删除列出的 S3 存储桶本身来删除该存储桶中的数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Discovery:S3/BucketEnumeration.Unusual
### IAM 实体调用了 S3 API,该 API 用于发现网络中的 S3 存储桶。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 `ListBuckets`。此类活动与攻击的发现阶段相关,攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Persistence:IAMUser/NetworkPermissions
### IAM 实体调用了一个 API,通常用于更改安全组、路由和 AWS 账户 ACLs 中的网络访问权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当网络配置设置在可疑的情况下发生更改时,例如,当主体调用 `CreateSecurityGroup` API 而之前没有此类历史记录时,就会触发该调查发现。攻击者通常会尝试更改安全组,从而允许各个端口上的特定入站流量,以提高其访问 EC2 实例的能力。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Persistence:IAMUser/ResourcePermissions
### 委托人调用了一个 API,通常用于更改您的中各种资源的安全访问策略 AWS 账户。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果调用的 API 使用在实例上创建的临时 AWS 证书,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当检测到附加到 AWS 资源的策略或权限发生了变化时,例如您的 AWS 环境中的委托人调用了 `PutBucketPolicy` API,但之前没有这样做的历史记录时,就会触发此发现。某些服务(如 Amazon S3)支持资源附加权限,可授予一个或多个主体访问资源的权限。攻击者利用窃取的凭证更改附加到资源的策略,从而获取对该资源的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Persistence:IAMUser/UserPermissions
### 委托人调用了通常用于添加、修改或删除您 AWS 账户中的 IAM 用户、群组或策略的 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
此发现是由环境中用户相关权限的可疑更改触发的,例如,当您的 AWS 环境中的委托人调用了 API 时,之前没有调用过 `AttachUserPolicy` API。 AWS 攻击者可能会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户或密码被盗,并将其从账户中删除。但是,他们可能不会删除由欺诈创建的管理员主体创建的其他用户,从而使攻击者可以访问他们的 AWS 帐户。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### 委托人尝试给自己分配高度宽松的策略。
**默认严重级别:低\$1**
**注意**
如果权限提升尝试不成功,此调查发现的严重性为“低”;如果权限提升尝试成功,则为“中”。
这一发现表明,您的 AWS 环境中的特定 IAM 实体表现出的行为可能表明存在权限升级攻击。当 IAM 用户或角色尝试为自己分配高度宽松的策略时,将触发此调查发现。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已泄露或者该角色的权限可能未正确配置。
攻击者将会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户的登录凭证被盗,并将其从账户中删除,但可能不会删除由欺诈性创建的管理员主体创建的其他用户,从而使攻击者仍可访问其 AWS 账户。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/NetworkPermissions
### 委托人调用了一个 API,通常用于更改安全组、路由和您 AWS 账户 ACLs 中的网络访问权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 AWS 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 `DescribeInstances` API 而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/ResourcePermissions
### 委托人调用了一个 API,通常用于更改您 AWS 账户中各种资源的安全访问策略。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 AWS 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 `DescribeInstances` API 而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/UserPermissions
### 委托人调用了通常用于添加、修改或删除您 AWS 账户中的 IAM 用户、群组或策略的 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑情况下探测您 AWS 环境中的用户权限时,就会触发此发现。例如,如果主体(AWS 账户根用户、IAM 角色或 IAM 用户)调用了 `ListInstanceProfilesForRole` API,而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
这一发现表明,您所在 AWS 环境中的一个特定主体表现出的行为与既定基准不同。此主体以前没有通过此方法调用该 API 的历史记录。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## ResourceConsumption:IAMUser/ComputeResources
### 委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当您 AWS 环境中列出的账户中的 EC2 实例在可疑情况下启动时,就会触发此调查发现。这一发现表明,您的 AWS 环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(AWS 账户根用户 IAM 角色或 IAM 用户)在以前没有调用过 `RunInstances` API 的情况下调用了 API。这可能指示攻击者正在使用被盗凭证窃取计算时间(可能用于加密货币挖矿或密码破解)。这也可能表明攻击者在您的 AWS 环境中使用了 EC2 实例及其证书来维护对您的账户的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Stealth:IAMUser/LoggingConfigurationModified
### 委托人调用了一个 API,通常用于停止 CloudTrail 记录、删除现有日志以及以其他方式消除您 AWS 账户中的活动痕迹。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑情况下修改您环境中列出的 AWS 账户中的日志记录配置时,会触发此调查发现。这一发现告诉您,您的 AWS 环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(AWS 账户根用户 IAM 角色或 IAM 用户)调用了 `StopLogging` API,但之前没有这样做的记录。这可能指示攻击者正在尝试通过消除其活动的任何踪迹来掩盖其跟踪。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLogin
### 在您的 AWS 账户中观察到一位委托人异常登录控制台。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑的情况下检测到控制台登录时,会触发此调查发现。例如,如果委托人以前没有这样做的历史,则从 never-before-used客户端或异常位置调用了 ConsoleLogin API。这可能表明被盗的凭证被用来访问您的 AWS 账户,或者有效用户以无效或不太安全的方式(例如,不是通过批准的 VPN)访问账户。
这一发现告诉你,你所在 AWS 环境中的一个特定的主体表现出的行为与既定基准不同。此主体以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:EC2/TorIPCaller
### EC2 实例正在接收来自 Tor 退出节点的入站连接。
**默认严重级别:中**
这一发现告诉您,您的 AWS 环境中的 EC2 实例正在接收来自 Tor 出口节点的入站连接。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/XORDDOS
### 一个 EC2 实例正在尝试与与 XOR DDo S 恶意软件关联的 IP 地址进行通信。
**默认严重级别:高**
这一发现告诉您,您的 AWS 环境中的 EC2 实例正试图与与 XOR DDoS 恶意软件关联的 IP 地址进行通信。此 EC2 实例可能遭盗用。XOR DDo S 是一种劫持 Linux 系统的特洛伊木马恶意软件。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上 Secure Shell(SSH)服务的密码。获取 SSH 凭据并成功登录后,它将使用 root 用户权限运行下载和安装 XOR S DDo 的脚本。然后,该恶意软件被用作僵尸网络的一部分,对其他目标发起分布式拒绝服务 (DDoS) 攻击。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Behavior:IAMUser/InstanceLaunchUnusual
### 用户启动了异常类型的 EC2 实例。
**默认严重级别:高**
这一发现告诉您,您 AWS 环境中的特定用户表现出的行为与既定基准不同。此用户之前没有启动过此类的 EC2 实例的历史记录。您的登录凭证可能已泄露。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 实例与比特币矿池通信。
**默认严重级别:高**
这一发现告诉您,您 AWS 环境中的一个 EC2 实例正在与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### 从异常网络的 IP 地址调用了 API。
**默认严重级别:高**
此调查发现告知您已从异常网络的 IP 地址调用特定活动。在所描述用户的整个 AWS 使用历史中,从未观察到该网络。此活动可能包括控制台登录、尝试启动 EC2 实例、创建新的 IAM 用户、修改您的 AWS 权限等。这可能表示您的 AWS 资源遭到未经授权的访问。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。