本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 已淘汰的調查結果類型
調查結果是一種包含 GuardDuty 所發現潛在安全問題詳細資訊的通知。如需有關 GuardDuty 調查結果類型重要變更的詳細資訊,包括新增或淘汰的調查結果類型,請參閱[Amazon GuardDuty 文件歷史記錄](doc-history.md)。
下列調查結果類型已淘汰,GuardDuty 不再產生這類調查結果。
**重要**
您無法重新啟動已淘汰的 GuardDuty 調查結果類型。
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM 實體以可疑的方式調用 S3 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,您 AWS 環境中的 IAM 實體正在進行涉及 S3 儲存貯體且與該實體已建立的基準不同的 API 呼叫。此活動中使用的 API 呼叫與攻擊的洩漏階段相關聯,攻擊者會在此階段嘗試收集資料。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Impact:S3/PermissionsModification.Unusual
### IAM 實體調用 API 來修改一或多個 S3 資源的許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,IAM 實體正在進行 API 呼叫,這類呼叫旨在修改 AWS 環境中一個或多個儲存貯體或物件的許可。攻擊者可能會執行此動作,以允許在帳戶外共用資訊。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Impact:S3/ObjectDelete.Unusual
### IAM 實體調用的是刪除 S3 儲存貯體中資料所用的 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,您 AWS 環境中的特定 IAM 實體正在發出 API 呼叫,旨在透過刪除儲存貯體本身來刪除所列 S3 儲存貯體中的資料。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Discovery:S3/BucketEnumeration.Unusual
### IAM 實體調用探索網路中 S3 儲存貯體所用的 S3 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,IAM 實體已調用 S3 API,來探索環境中的 S3 儲存貯體,例如 `ListBuckets`。這種類型的活動與攻擊的探索階段相關聯,其中攻擊者正在收集資訊,以判斷您的 AWS 環境是否容易受到更廣泛的攻擊。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Persistence:IAMUser/NetworkPermissions
### IAM 實體調用 API,常用於變更 AWS 帳戶中安全群組、路由和 ACLs的網路存取許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
在可疑情況下變更網路組態設定時,例如主體調用 `CreateSecurityGroup` API,但先前沒有這樣做的歷史記錄時,就會觸發此調查結果。攻擊者通常會嘗試變更安全群組,並在各種連接埠上允許特定傳入流量,以改進他們存取 EC2 執行個體的能力。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Persistence:IAMUser/ResourcePermissions
### 委託人調用 API,通常用於變更 中各種資源的安全存取政策 AWS 帳戶。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果叫用 API 時使用在執行個體上建立的臨時 AWS 登入資料,則調查結果的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
當偵測到連接到 AWS 資源的政策或許可變更時,例如您 AWS 環境中的委託人調用 `PutBucketPolicy` API 而先前沒有這樣做的歷史記錄時,就會觸發此調查結果。有些服務 (例如 Amazon S3) 可支援授予一個或以上的主體存取資源的資源連接許可。攻擊者可以透過竊取的憑證,變更連接到資源的政策,以獲得對該資源的存取權限。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Persistence:IAMUser/UserPermissions
### 委託人調用 API,通常用於新增、修改或刪除您 AWS 帳戶中的 IAM 使用者、群組或政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果是由您 AWS 環境中使用者相關許可的可疑變更所觸發,例如您 AWS 環境中的委託人調用 `AttachUserPolicy` API 時,先前沒有這樣做的歷史記錄。攻擊者可能會使用竊取的憑證來新建使用者、為現有使用者新增存取政策,或建立存取金鑰以最大限度地提高其對帳戶的存取權限,即使原始存取點關閉也是如此。例如,帳戶擁有者可能會注意到特定 IAM 使用者或密碼遭竊,並將其從帳戶中刪除。不過,他們可能不會刪除由詐騙建立的管理員主體建立的其他使用者,讓攻擊者可以存取他們的 AWS 帳戶。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### 委託人嘗試將非常寬鬆的政策指派給自己。
**預設嚴重性:低\$1**
**注意**
如果嘗試權限提升失敗,此調查結果的嚴重性為「低」,如果嘗試提升權限成功,則為嚴重性為「中」。
此調查結果指出您 AWS 環境中的特定 IAM 實體正在展現可能表示權限提升攻擊的行為。當 IAM 使用者或角色嘗試將非常寬鬆的政策指派給自己時,將會觸發此調查結果。如果有問題的使用者或角色不具有管理權限,則使用者的登入資料可能會洩露,或角色的許可可能未正確設定。
攻擊者將會使用竊取的憑證來新建使用者、為現有使用者新增存取政策,或建立存取金鑰以最大限度地提高其對帳戶的存取權限,即使原始存取點關閉也是如此。例如,該帳戶的擁有者可能會注意到特定 IAM 使用者登入憑證遭竊,並將其從帳戶中刪除,但可能不會刪除以詐欺手段建立之管理員主體所建立的其他使用者,因而導致攻擊者仍可存取其 AWS 帳戶。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/NetworkPermissions
### 委託人調用 API,通常用於變更您 AWS 帳戶中安全群組、路由和 ACLs的網路存取許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果會在可疑情況下探測 AWS 帳戶中的資源存取許可時被觸發。例如,如果主體在調用 `DescribeInstances` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/ResourcePermissions
### 委託人調用 API,常用於變更 AWS 帳戶中各種資源的安全存取政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果會在可疑情況下探測 AWS 帳戶中的資源存取許可時被觸發。例如,如果主體在調用 `DescribeInstances` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/UserPermissions
### 委託人調用 API,通常用於新增、修改或刪除您 AWS 帳戶中的 IAM 使用者、群組或政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
在可疑情況下探測 AWS 環境中的使用者許可時,會觸發此調查結果。例如,如果主體 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 在調用 `ListInstanceProfilesForRole` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
此調查結果指出您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同。此主體之前沒有使用此方法調用 API 的歷程記錄。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## ResourceConsumption:IAMUser/ComputeResources
### 委託人叫用常用於啟動運算資源 (例如 EC2 執行個體) 的 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會在可疑情況下啟動 AWS 環境中所列帳戶中的 EC2 執行個體時被觸發。此調查結果指出您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同;例如,如果委託人 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 調用 `RunInstances` API 而先前沒有這樣做的歷史記錄。這可能表示攻擊者使用了遭洩漏的憑證來竊取運算時間 (可能用於加密貨幣採礦或密碼破解)。它也可以表示攻擊者在您的 AWS 環境中使用 EC2 執行個體及其登入資料來維護對帳戶的存取。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Stealth:IAMUser/LoggingConfigurationModified
### 委託人調用 API,通常用於停止 CloudTrail 記錄、刪除現有日誌,以及消除 AWS 您帳戶中的活動追蹤。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會在可疑情況下修改您環境中所列 AWS 帳戶中的記錄組態時被觸發。此調查結果會通知您,您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同;例如,如果委託人 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 調用 `StopLogging` API 而先前沒有這樣做的歷史記錄。這可能表示攻擊者正試圖透過消除他們的任何活動痕跡來掩蓋其踪跡。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLogin
### 您 AWS 帳戶中的主體發現不尋常的主控台登入。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
在可疑情況下偵測到主控台登入時都會觸發此調查結果。例如,如果一個主體沒有之前的歷程記錄,則會從一個從未使用過的用戶端或不尋常的位置調用 ConsoleLogin API。這可能表示被盜的登入資料被用來存取 AWS 您的帳戶,或以無效或較不安全的方式存取帳戶的有效使用者 (例如,不是透過核准的 VPN)。
此調查結果會通知您,您 AWS 環境中的特定主體所展現的行為與已建立的基準不同。此主體之前沒有從此特定位置使用此用戶端應用程式登入活動的歷程記錄。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:EC2/TorIPCaller
### 您的 EC2 執行個體正在從一個 Tor 退出節點接收傳入連線。
**預設嚴重性:中**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在從 Tor 結束節點接收傳入連線。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/XORDDOS
### EC2 執行個體嘗試與 XOR DDoS 惡意軟體相關聯的 IP 地址進行通訊。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在嘗試與與 XOR DDoS 惡意軟體相關聯的 IP 地址進行通訊。此 EC2 執行個體可能已遭洩漏。XOR DDoS 是 Trojan (木馬程式) 惡意軟體,會劫持 Linux 系統。為了取得系統存取權限,它會啟動暴力破解攻擊,以找出 Linux 上 Secure Shell (SSH) 服務的密碼。取得 SSH 憑證並成功登入後,其會利用根使用者權限執行指令碼,來下載和安裝 XOR DDoS。接著此惡意軟體就會成為殭屍網路的一部分,用來對其他目標發動分散式阻斷服務 (DDoS) 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Behavior:IAMUser/InstanceLaunchUnusual
### 使用者啟動了不尋常的 EC2 執行個體類型。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的特定使用者正在展現與已建立基準不同的行為。此使用者沒有啟動此 EC2 執行個體類型的歷史記錄。登入憑證可能已遭盜用。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 執行個體正在與 Bitcoin (比特幣) 採礦區通訊。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在與比特幣採礦集區通訊。在加密貨幣採礦的領域中,採礦池是礦工透過網路分享處理能力來匯集資源的集區,並根據他們解決區塊時貢獻的工作量來分割獎勵。除非您使用此 EC2 執行個體來挖掘 Bitcoin (比特幣),否則您的 EC2 執行個體可能會被洩漏。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### API 已被一個不尋常網路的 IP 地址呼叫。
**預設嚴重性:高**
此調查結果會通知您,已從異常網路的 IP 地址叫用特定活動。在所描述使用者的 AWS 使用歷史記錄中從未觀察到該網路。此活動可以包括主控台登入、嘗試啟動 EC2 執行個體、新建 IAM 使用者、修改 AWS 權限等。這可能表示未經授權存取您的 AWS 資源。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。