Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Laufzeitüberwachung: Typen finden

Amazon GuardDuty generiert die folgenden Runtime Monitoring-Ergebnisse, um auf potenzielle Bedrohungen hinzuweisen, die auf dem Verhalten von EC2 Amazon-Hosts und Containern in Ihren Amazon EKS-Clustern, Fargate- und Amazon ECS-Workloads und Amazon-Instances auf Betriebssystemebene basieren. EC2

CryptoCurrency:Runtime/BitcoinTool.B

Eine EC2 Amazon-Instance oder ein Container fragt eine IP-Adresse ab, die mit einer kryptowährungsbezogenen Aktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine IP-Adresse abfragt, die mit einer kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure könnten versuchen, die Kontrolle über Computerressourcen zu erhalten, um sie böswillig für das nicht autorisierte Mining von Kryptowährungen wiederzuverwenden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instanz oder einen Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn eine dieser Instanzen anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte das CryptoCurrency:Runtime/BitcoinTool.B Ergebnis die erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Eine EC2 Amazon-Instance oder ein Container fragt eine IP ab, die einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine IP-Adresse abfragt, die einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgeführte Instance oder der Container ist potenziell kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

Ihre EC2 Amazon-Instance oder ein Container stellt als Tor-Relay Verbindungen zu einem Tor-Netzwerk her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung läuft, Verbindungen zu einem Tor-Netzwerk auf eine Weise herstellt, die darauf hindeutet, dass es als Tor-Relay fungiert. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor erhöht die Anonymität der Kommunikation, indem sie den möglicherweise illegalen Datenverkehr des Kunden von einem Tor-Relais zu einem anderen weiterleiten.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

Deine EC2 Amazon-Instance oder ein Container stellt Verbindungen zu einem Tor Guard- oder Authority-Knoten her.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert dich darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in deiner AWS Umgebung läuft, Verbindungen zu einem Tor Guard- oder einem Authority-Knoten herstellt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Tor Guards und Authority-Knoten fungieren als erste Gateways in ein Tor-Netzwerk. Dieser Verkehr kann darauf hinweisen, dass diese EC2 Instanz oder der Container potenziell kompromittiert wurde und als Client in einem Tor-Netzwerk fungiert. Dieser Befund kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Eine EC2 Amazon-Instance oder ein Container versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, bei dem es sich um ein bekanntes schwarzes Loch handelt.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er versucht, mit der IP-Adresse eines schwarzen Lochs (oder eines Sink Hole) zu kommunizieren. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben. Die IP-Adresse eines schwarzen Lochs gibt einen Hostcomputer an, der nicht ausgeführt wird, oder eine Adresse, der kein Host zugewiesen wurde.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint

Eine EC2 Amazon-Instance oder ein Container versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, mit der IP-Adresse eines Remote-Hosts zu kommunizieren, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der mit einer Kryptowährungsaktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen abfragt, der mit Bitcoin oder einer anderen kryptowährungsbezogenen Aktivität verknüpft ist. Bedrohungsakteure könnten versuchen, die Kontrolle über Computerressourcen zu erhalten, um sie böswillig für das nicht autorisierte Mining von Kryptowährungen wiederzuverwenden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instanz oder diesen Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn eine dieser Instanzen anderweitig an Blockchain-Aktivitäten beteiligt ist, könnte das CryptoCurrency:Runtime/BitcoinTool.B!DNS Ergebnis eine erwartete Aktivität für Ihre Umgebung sein. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Kriterium sollte das Attribut Ergebnistyp mit dem Wert CryptoCurrency:Runtime/BitcoinTool.B!DNS verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährungen oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der einem bekannten Command-and-Control-Server zugeordnet ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen abfragt, der einem bekannten Command-and-Control-Server (C&C) zugeordnet ist. Die aufgelistete EC2 Instance oder der Container ist möglicherweise kompromittiert. Command-and-control-Server sind Computer, die Befehle an Mitglieder eines Botnets senden.

Ein Botnetz ist eine Sammlung von mit dem Internet verbundenen Geräten, zu denen Server PCs, mobile Geräte und Geräte für das Internet der Dinge gehören können, die mit einer gängigen Art von Malware infiziert sind und von ihr kontrolliert werden. Botnets dienen häufig zum Verteilen von Malware und Sammeln von sich widerrechtlich angeeigneten Informationen, wie z. B. Kreditkartennummern. Je nach Zweck und Struktur des Botnetzes kann der C&C-Server auch Befehle ausgeben, um einen verteilten Denial-of-Service (S) -Angriff zu starten. DDo

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen ab, der an eine Black-Hole-IP-Adresse umgeleitet wird.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er einen Domainnamen abfragt, der an eine Black-Hole-IP-Adresse umgeleitet wird. Schwarze Löcher bezeichnen Orte im Netzwerk, an denen eingehender oder ausgehender Datenverkehr stillschweigend gelöscht wird, ohne die Quelle zu informieren, dass die Daten den vorgesehenen Empfänger nicht erreicht haben.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Eine EC2 Amazon-Instance oder ein Container fragt den Domainnamen eines Remote-Hosts ab, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, den Domainnamen eines Remote-Hosts abfragt, der bekanntermaßen Anmeldeinformationen und andere gestohlene Daten enthält, die von Malware erfasst wurden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Eine EC2 Amazon-Instance oder ein Container fragt algorithmisch generierte Domains ab. Solche Domains werden häufig von Malware verwendet und können ein Hinweis auf eine kompromittierte EC2 Instance oder einen Container sein.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, Domänen mit dem Algorithmus zur Domänengenerierung (Domain Generation Algorithm, DGA) abzufragen. Ihre Ressource wurde möglicherweise kompromittiert.

DGAs werden verwendet, um in regelmäßigen Abständen eine große Anzahl von Domainnamen zu generieren, die als Treffpunkte mit ihren Command-and-Control-Servern (C&C) verwendet werden können. Command-and-Control-Server sind Computer, die Befehle an die Mitglieder eines Botnets senden. Hierbei handelt es sich um eine Ansammlung von mit dem Internet verbundenen Geräten, die infiziert sind und von einer gängigen Malware kontrolliert werden. Die große Anzahl potenzieller Rendezvous Points erschwert ein effektives Stilllegen von Botnets, da infizierte Computer versuchen, einige dieser Domänennamen täglich zu kontaktieren, um Updates oder Befehle zu erhalten.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Eine EC2 Amazon-Instance oder ein Container fragt den Domainnamen eines Remote-Hosts ab, der eine bekannte Quelle für Drive-By-Download-Angriffe ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, möglicherweise gefährdet ist, weil er den Domainnamen eines Remote-Hosts abfragt, der eine bekannte Quelle für Drive-by-Download-Angriffe ist. Es handelt sich um unbeabsichtigte Downloads von Computer-Software aus dem Internet, die eine automatische Installation von Viren, Spyware oder Malware auslösen können.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Eine EC2 Amazon-Instance oder ein Container fragt Domains ab, die an Phishing-Angriffen beteiligt sind.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, versucht, eine Domain abzufragen, die an Phishing-Angriffen beteiligt ist. Phishing-Domänen werden von jemandem eingerichtet, der sich als rechtmäßige Institution ausgibt, um Personen dazu zu bringen, sensible Daten bereitzustellen, wie beispielsweise personenbezogene Informationen, Bank- und Kreditkartendaten oder Passwörter. Ihre EC2 Instance oder der Container versucht möglicherweise, sensible Daten abzurufen, die auf einer Phishing-Website gespeichert sind, oder versucht möglicherweise, eine Phishing-Website einzurichten. Ihre EC2 Instance oder der Container ist möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit bekanntermaßen missbrauchten Domains verknüpft ist.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten missbrauchten Domains oder IP-Adressen verknüpft ist. Beispiele für missbräuchliche Domains sind Top-Level-Domainnamen (TLDs) und Second-Level-Domainnamen (2LDs), die kostenlose Subdomain-Registrierungen bieten, sowie dynamische DNS-Anbieter. Bedrohungsakteure nutzen diese Services in der Regel, um Domains kostenlos oder zu geringen Kosten zu registrieren. Bei Domains mit geringer Reputation in dieser Kategorie kann es sich auch um abgelaufene Domains handeln, die auf die Parking-IP-Adresse eines Registrars zurückgehen und daher möglicherweise nicht mehr aktiv sind. Bei einer Parking-IP leitet ein Registrar den Verkehr für Domains weiter, die mit keinem Service verknüpft wurden. Die aufgelistete EC2 Amazon-Instance oder der Container können gefährdet sein, da Bedrohungsakteure diese Registrare oder Dienste häufig für C&C und die Verbreitung von Malware nutzen.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und stuft die Merkmale einer Domäne, um zu ermitteln, wie wahrscheinlich es ist, dass es sich um eine bösartige Domäne handelt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit niedriger Reputation ab, der mit kryptowährungsbezogenen Aktivitäten verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit niedriger Reputation abfragt, der mit Bitcoin oder anderen kryptowährungsbezogenen Aktivitäten in Verbindung steht. Bedrohungsakteure könnten versuchen, die Kontrolle über Computerressourcen zu erhalten, um sie böswillig für das nicht autorisierte Mining von Kryptowährungen wiederzuverwenden.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und stuft die Merkmale einer Domäne, um zu ermitteln, wie wahrscheinlich es ist, dass es sich um eine bösartige Domäne handelt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn Sie diese EC2 Instance oder den Container verwenden, um Kryptowährungen zu minen oder zu verwalten, oder wenn diese Ressourcen anderweitig an Blockchain-Aktivitäten beteiligt sind, könnte dieses Ergebnis die erwartete Aktivität für Ihre Umgebung darstellen. Wenn dies in Ihrer AWS Umgebung der Fall ist, empfehlen wir Ihnen, eine Unterdrückungsregel für dieses Ergebnis einzurichten. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert Impact:Runtime/BitcoinDomainRequest.Reputation verwenden. Das zweite Filterkriterium sollte die Instance-ID der Instance oder die Container-Image-ID des Containers sein, der an Aktivitäten im Zusammenhang mit Kryptowährung oder Blockchain beteiligt ist. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt eine Domain mit niedriger Reputation ab, die mit bekannten bösartigen Domains verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit niedriger Reputation abfragt, der mit bekannten bösartigen Domains oder IP-Adressen verknüpft ist. Beispielsweise können solche Domänen mit einer bekannten Sinkhole-IP-Adresse verknüpft sein. Sinkhole-Domains sind Domains, die zuvor von einem Bedrohungsakteur kontrolliert wurden, und Anfragen an sie können darauf hinweisen, dass die Instance kompromittiert wurde. Diese Domains können auch mit bekannten böswilligen Kampagnen oder Algorithmen zur Domain-Generierung korreliert sein.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und stuft die Merkmale einer Domäne, um zu ermitteln, wie wahrscheinlich es ist, dass es sich um eine bösartige Domäne handelt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Eine EC2 Amazon-Instance oder ein Container fragt einen Domainnamen mit geringer Reputation ab, der aufgrund seines Alters oder seiner geringen Beliebtheit verdächtig ist.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem Container in Ihrer AWS Umgebung ausgeführt wird, einen Domainnamen mit niedriger Reputation abfragt, bei dem der Verdacht besteht, dass er bösartig ist. Die beobachteten Merkmale dieser Domäne stimmten mit denen der zuvor beobachteten bösartigen Domänen überein. Unser Reputationsmodell war jedoch nicht in der Lage, sie definitiv mit einer bekannten Bedrohung in Verbindung zu bringen. Diese Domänen sind in der Regel neu beobachtete Domänen oder solche mit geringem Datenverkehr.

Domains mit niedriger Reputation basieren auf einem Reputations-Punkte-Modell. Dieses Modell bewertet und stuft die Merkmale einer Domäne, um zu ermitteln, wie wahrscheinlich es ist, dass es sich um eine bösartige Domäne handelt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Eine EC2 Amazon-Instance oder ein Container führt DNS-Suchen durch, die zum Instance-Metadaten-Service aufgelöst werden.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wird, eine Domäne abfragt, die in die EC2 Metadaten-IP-Adresse (169.254.169.254) aufgelöst wird. Eine solche DNS-Abfrage kann darauf hinweisen, dass die Instance das Ziel einer DNS-Rebinding-Technik ist. Diese Technik kann verwendet werden, um Metadaten von einer EC2 Instance abzurufen, einschließlich der mit der Instance verknüpften IAM-Anmeldeinformationen.

Beim DNS-Rebinding wird eine auf der EC2 Instance ausgeführte Anwendung dazu verleitet, Rückgabedaten von einer URL zu laden, wobei der Domainname in der URL in die EC2 Metadaten-IP-Adresse () aufgelöst wird. 169.254.169.254 Dadurch greift die Anwendung auf EC2 Metadaten zu und stellt sie möglicherweise dem Angreifer zur Verfügung.

Der Zugriff auf EC2 Metadaten mithilfe von DNS-Rebinding ist nur möglich, wenn auf der EC2 Instanz eine anfällige Anwendung ausgeführt wird, die die Injektion von ermöglicht URLs, oder wenn jemand in einem Webbrowser, der auf der Instanz läuft, auf die EC2 URL zugreift.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Als Reaktion auf dieses Ergebnis sollten Sie prüfen, ob auf der EC2 Instance oder im Container eine anfällige Anwendung läuft oder ob jemand einen Browser verwendet hat, um auf die in der Entdeckung identifizierte Domain zuzugreifen. Wenn die Ursache eine anfällige Anwendung ist, beheben Sie die Schwachstelle. Wenn ein Browser verwendet wurde, blockieren Sie die Domain oder verhindern, dass Benutzer auf sie zugreifen. Wenn Sie feststellen, dass dieses Ergebnis mit einem der oben genannten Fälle zusammenhängt, widerrufen Sie die mit der EC2 Instanz verknüpfte Sitzung.

Manche AWS Kunden ordnen die Metadaten-IP-Adresse bewusst einem Domainnamen auf ihren autoritativen DNS-Servern zu. Wenn dies in Ihrer -Umgebung der Fall ist, empfehlen wir, für dieses Ergebnis eine Unterdrückungsregel festzulegen. Die Unterdrückungsregel sollte aus zwei Filterkriterien bestehen. Das erste Filterkriterium sollte das Attribut Erkenntnistyp mit dem Wert UnauthorizedAccess:Runtime/MetaDataDNSRebind verwenden. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain oder die Container-Image-ID des Containers sein. Das zweite Filterkriterium sollte die DNS-Anforderungs-Domain sein, und der Wert sollte mit der Domain übereinstimmen, die Sie der Metadaten-IP-Adresse zugeordnet haben (169.254.169.254). Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

Eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container wurde ausgeführt.

Standard-Schweregrad: Mittel

Dieser Befund informiert Sie darüber, dass eine neu erstellte oder kürzlich geänderte Binärdatei in einem Container ausgeführt wurde. Die Unveränderlichkeit von Containern zur Laufzeit stellt ein bewährtes Verfahren dar. Während der Lebensdauer des Containers sollten keine Binärdateien, Skripts oder Bibliotheken erstellt oder geändert werden. Dieses Verhalten weist darauf hin, dass ein böswilliger Akteur Zugriff auf den Container erhalten, Malware oder andere Software heruntergeladen und als Teil der potenziellen Kompromittierung ausgeführt hat. Obwohl diese Art von Aktivität ein Hinweis auf eine Kompromittierung sein könnte, ist sie auch ein weit verbreitetes Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Um den modifizierten Prozess und die neue Binärdatei zu identifizieren, sehen Sie sich die Details zum Änderungsprozess und die Prozessdetails an

Die Details des Änderungsprozesses befinden sich im service.runtimeDetails.context.modifyingProcess Feld des Such-JSON-Felds oder unter Bearbeitungsprozess im Bereich mit den Ergebnisdetails. Bei diesem Befundtyp wird /usr/bin/dpkg der Änderungsprozess entweder durch das service.runtimeDetails.context.modifyingProcess.executablePath Feld der Ergebnis-JSON identifiziert oder er ist Teil des Änderungsprozesses im Bereich mit den Ergebnisdetails.

Die Details der ausgeführten neuen oder geänderten Binärdatei sind im service.runtimeDetails.process Abschnitt „Finding JSON“ oder im Abschnitt „Prozess“ unter Runtime-Details enthalten. Für diesen Findetyp ist die neue oder geänderte Binärdatei/usr/bin/python3.8, wie im Feld service.runtimeDetails.process.executablePath (Ausführbarer Pfad) angegeben.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Ein Prozess in einem Container kommuniziert über den Docker-Socket mit dem Docker-Daemon.

Standard-Schweregrad: Mittel

Der Docker-Socket ist ein Unix-Domain-Socket, den Docker-Daemon (dockerd) verwendet, um mit seinen Clients zu kommunizieren. Ein Client kann verschiedene Aktionen ausführen, z. B. das Erstellen von Containern, indem er über den Docker-Socket mit dem Docker-Daemon kommuniziert. Es ist verdächtig, dass ein Container-Prozess auf den Docker-Socket zugreift. Ein Container-Prozess kann den Container verlassen und Zugriff auf Host-Ebene erhalten, indem er mit dem Docker-Socket kommuniziert und einen privilegierten Container erstellt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

Ein Container-Escape-Versuch über runC wurde erkannt.

Standard-Schweregrad: Hoch

RunC ist die Low-Level-Container-Runtime, die Container-Laufzeiten auf hoher Ebene wie Docker und Containerd verwenden, um Container zu erzeugen und auszuführen. RunC wird immer mit Root-Rechten ausgeführt, da es die Low-Level-Aufgabe, einen Container zu erstellen, ausführen muss. Ein Bedrohungsakteur kann sich Zugriff auf Host-Ebene verschaffen, indem er eine Sicherheitslücke in der RunC-Binärdatei entweder modifiziert oder ausnutzt.

Dieses Ergebnis deckt Änderungen an der RunC-Binärdatei und mögliche Versuche auf, die folgenden RunC-Schwachstellen auszunutzen:

Diese Erkenntnis könnte darauf hindeuten, dass ein böswilliger Akteur versucht hat, einen der folgenden Containertypen auszunutzen:

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Ein Versuch, einem Container durch den CGroups Release-Agent zu entkommen, wurde festgestellt.

Standard-Schweregrad: Hoch

Diese Erkenntnis informiert Sie darüber, dass ein Versuch erkannt wurde, eine Release-Agent-Datei für eine Kontrollgruppe (Cgroup) zu ändern. Linux verwendet Kontrollgruppen (Cgroups), um die Ressourcennutzung einer Reihe von Prozessen einzuschränken, zu berücksichtigen und zu isolieren. Jede cgroup verfügt über eine Release-Agent-Datei (release_agent). Linux führt dieses Skript aus, wenn ein Prozess innerhalb von cgroup beendet wird. Die Release-Agent-Datei wird immer auf Host-Ebene ausgeführt. Ein Bedrohungsakteur in einem Container kann zum Host entkommen, indem er beliebige Befehle in die Release-Agent-Datei schreibt, die zu einer Cgroup gehört. Wenn ein Prozess innerhalb dieser Cgroup beendet wird, werden die vom Akteur geschriebenen Befehle ausgeführt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion mithilfe des proc-Dateisystems festgestellt.

Standard-Schweregrad: Hoch

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Das proc-Dateisystem (procfs) ist ein spezielles Dateisystem in Linux, das den virtuellen Speicher eines Prozesses als Datei darstellt. Der Pfad dieser Datei lautet /proc/PID/mem, wobei PID die eindeutige ID des Prozesses ist. Ein Bedrohungsakteur kann in diese Datei schreiben, um Code in den Prozess einzuschleusen. Diese Erkenntnis identifiziert potenzielle Versuche, in diese Datei zu schreiben.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion mithilfe eines ptrace-Systemaufrufs festgestellt.

Standard-Schweregrad: Mittel

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann den ptrace-Systemaufruf verwenden, um Code in einen anderen Prozess einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe des Systemaufrufs ptrace Code in einen Prozess einzuschleusen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

In einem Container oder einer EC2 Amazon-Instance wurde eine Prozessinjektion durch direktes Schreiben in den virtuellen Speicher erkannt.

Standard-Schweregrad: Hoch

Bei der Prozessinjektion handelt es sich um eine Technik, mit der Bedrohungsakteure Code in Prozesse einschleusen, um Schutzmaßnahmen zu umgehen und möglicherweise Rechte zu erweitern. Ein Prozess kann einen Systemaufruf wie process_vm_writev verwenden, um Code direkt in den virtuellen Speicher eines anderen Prozesses einzuschleusen. Diese Erkenntnis identifiziert einen möglichen Versuch, mithilfe eines Systemaufrufs Code in den virtuellen Speicher eines Prozesses einzuschleusen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität unerwartet ist, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/ReverseShell

Ein Prozess in einem Container oder einer EC2 Amazon-Instance hat eine umgekehrte Shell erstellt.

Standard-Schweregrad: Hoch

Eine Reverse-Shell ist eine Shell-Sitzung, die auf einer Verbindung erstellt wird, die vom Zielhost zum Host des Akteurs initiiert wird. Dies ist das Gegenteil einer normalen Shell, die vom Host des Akteurs zum Host des Ziels initiiert wird. Bedrohungsakteure erstellen eine Reverse-Shell, um Befehle auf dem Ziel auszuführen, nachdem sie sich den ersten Zugriff auf das Ziel verschafft haben. Dieser Befund identifiziert potenziell verdächtige Reverse-Shell-Verbindungen.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn sich herausstellt, dass die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, und kann weiter untersucht werden.

Empfehlungen zur Abhilfe:

Der GuardDuty Security Agent überwacht Ereignisse aus mehreren Quellen. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Suchdetails in der GuardDuty Konsole unter Ressourcentyp. Wenn diese Aktivität nicht erwartet wird, wurde Ihr Ressourcentyp möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/FilelessExecution

Ein Prozess in einem Container oder einer EC2 Amazon-Instance führt Code aus dem Speicher aus.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, wenn ein Prozess mit einer im Speicher befindlichen ausführbaren Datei auf der Festplatte ausgeführt wird. Dabei handelt es sich um eine gängige Technik zur Umgehung von Schutzmaßnahmen, bei der verhindert wird, dass die schädliche ausführbare Datei auf die Festplatte geschrieben wird, um der Erkennung durch Dateisystem-Scans zu entgehen. Diese Technik wird zwar von Schadsoftware verwendet, hat aber auch einige legitime Anwendungsfälle. Eines der Beispiele ist ein just-in-time (JIT-) Compiler, der kompilierten Code in den Speicher schreibt und ihn aus dem Speicher ausführt.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Ein Container oder eine EC2 Amazon-Instance führt eine Binärdatei aus, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Instance oder dem aufgelisteten Container in Ihrer AWS Umgebung ausgeführt wird, eine Binärdatei ausführt, die mit einer Cryptocurrency-Mining-Aktivität verknüpft ist. Bedrohungsakteure könnten versuchen, die Kontrolle über Computerressourcen zu erhalten, um sie böswillig für das nicht autorisierte Mining von Kryptowährungen wiederzuverwenden.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp im Ergebnisfenster der GuardDuty Konsole. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp und finden Sie unterBehebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Eine neu erstellte oder kürzlich geänderte Bibliothek wurde von einem Prozess in einen Container geladen.

Standard-Schweregrad: Mittel

Diese Erkenntnis informiert Sie darüber, dass eine Bibliothek während der Laufzeit in einem Container erstellt oder geändert und von einem Prozess geladen wurde, der innerhalb des Containers ausgeführt wird. Es ist eine bewährte Methode, Container zur Laufzeit unveränderlich zu halten. Binärdateien, Skripten oder Bibliotheken sollten während der Lebensdauer des Containers nicht erstellt oder geändert werden. Das Laden einer neu erstellten oder geänderten Bibliothek in einen Container kann auf verdächtige Aktivitäten hinweisen. Dieses Verhalten weist darauf hin, dass ein böswilliger Akteur potenziell Zugriff auf den Container erhalten, Malware oder andere Software heruntergeladen und als Teil der potenziellen Kompromittierung ausgeführt hat. Obwohl diese Art von Aktivität ein Hinweis auf eine Kompromittierung sein könnte, ist sie auch ein weit verbreitetes Nutzungsmuster. GuardDuty Verwendet daher Mechanismen zur Identifizierung verdächtiger Instanzen dieser Aktivität und generiert diesen Befundtyp nur für verdächtige Fälle.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Ein Prozess in einem Container hat zur Laufzeit ein Host-Dateisystem gemountet.

Standard-Schweregrad: Mittel

Bei mehreren Techniken zur Container-Escape-Methode wird zur Laufzeit ein Host-Dateisystem in einem Container gemountet. Diese Erkenntnis informiert Sie darüber, dass ein Prozess in einem Container möglicherweise versucht hat, ein Host-Dateisystem zu mounten, was auf einen Fluchtversuch zum Host hindeuten kann.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Ein Prozess verwendete userfaultfd-Systemaufrufe, um Seitenfehler im Benutzerbereich zu behandeln.

Standard-Schweregrad: Mittel

Typischerweise werden Seitenfehler vom Kernel im Kernel-Space behandelt. Ein userfaultfd-Systemaufruf ermöglicht Prozessen jedoch die Behandlung von Seitenfehlern in einem Dateisystem im Benutzerbereich. Dies ist eine nützliches Feature, die die Implementierung von Dateisystemen in der Benutzerumgebung ermöglicht. Andererseits kann sie auch von einem potenziell bösartigen Prozess verwendet werden, um den Kernel von der Benutzerumgebung aus zu unterbrechen. Kernel-Interrupts mittels userfaultfd-Systemaufrufen stellen eine häufige Exploit-Technik dar, um Race-Zeiträume während der Ausnutzung von Kernel-Race-Bedingungen zu verlängern. Die Verwendung von userfaultfd kann auf verdächtige Aktivitäten auf der Amazon Elastic Compute Cloud (Amazon EC2) -Instance hinweisen.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcen. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousTool

In einem Container oder einer EC2 Amazon-Instance wird eine Binärdatei oder ein Binärskript ausgeführt, das häufig in offensiven Sicherheitsszenarien wie Pentesting verwendet wird.

Standard-Schweregrad: Unterschiedlich

Der Schweregrad dieser Feststellung kann entweder hoch oder niedrig sein, je nachdem, ob das erkannte verdächtige Tool als doppelter Verwendungszweck oder ausschließlich für anstößige Zwecke eingestuft wird.

Dieser Befund informiert Sie darüber, dass ein verdächtiges Tool auf einer EC2 Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dazu gehören Tools, die bei Pentesting-Projekten verwendet werden, auch bekannt als Backdoor-Tools, Netzwerkscanner und Netzwerk-Sniffer. All diese Tools können in harmlosen Kontexten eingesetzt werden, werden aber auch häufig von Bedrohungsakteuren mit böswilligen Absichten eingesetzt. Die Beobachtung anstößiger Sicherheitstools könnte darauf hindeuten, dass die zugehörige EC2 Instance oder der zugehörige Container kompromittiert wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder einem Container ausgeführt, der auf eine Kompromittierung hindeutet.

Standard-Schweregrad: Unterschiedlich

Je nach Auswirkung des beobachteten bösartigen Musters kann der Schweregrad dieses Ergebnistyps entweder niedrig, mittel oder hoch sein.

Dieses Ergebnis informiert Sie darüber, dass ein verdächtiger Befehl ausgeführt wurde, und weist darauf hin, dass eine EC2 Amazon-Instance oder ein Container in Ihrer AWS Umgebung kompromittiert wurde. Dies kann bedeuten, dass entweder eine Datei aus einer verdächtigen Quelle heruntergeladen und dann ausgeführt wurde oder dass ein laufender Prozess in seiner Befehlszeile ein bekanntes bösartiges Muster zeigt. Dies weist weiter darauf hin, dass Malware auf dem System ausgeführt wird.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Ein Befehl wurde auf der aufgelisteten EC2 Amazon-Instance oder einem Container ausgeführt. Er versucht, einen Linux-Abwehrmechanismus wie eine Firewall oder wichtige Systemdienste zu ändern oder zu deaktivieren.

Standard-Schweregrad: Unterschiedlich

Je nachdem, welcher Abwehrmechanismus verändert oder deaktiviert wurde, kann der Schweregrad dieses Ergebnistyps entweder hoch, mittel oder niedrig sein.

Dieses Ergebnis informiert Sie darüber, dass ein Befehl ausgeführt wurde, mit dem versucht wird, einen Angriff vor den Sicherheitsdiensten des lokalen Systems zu verbergen. Dazu gehören Aktionen wie das Deaktivieren der Unix-Firewall, das Ändern lokaler IP-Tabellen, das Entfernen von crontab-Einträgen, das Deaktivieren eines lokalen Dienstes oder das Übernehmen der LDPreload-Funktion. Jede Änderung ist äußerst verdächtig und ein potenzieller Indikator für eine Gefährdung. Daher erkennen oder verhindern diese Mechanismen eine weitere Beeinträchtigung des Systems.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieses Ergebnis nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Ein Prozess in einem Container oder einer EC2 Amazon-Instance hat mithilfe des ptrace-Systemaufrufs eine Anti-Debugging-Maßnahme ausgeführt.

Standard-Schweregrad: Niedrig

Dieses Ergebnis zeigt, dass ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder einem Container in Ihrer AWS Umgebung läuft, den ptrace-Systemaufruf mit der PTRACE_TRACEME Option verwendet hat. Diese Aktivität würde dazu führen, dass sich ein angefügter Debugger vom laufenden Prozess löst. Wenn kein Debugger angefügt ist, hat sie keine Wirkung. Die Aktivität an sich erregt jedoch Verdacht. Dies könnte darauf hindeuten, dass Malware auf dem System ausgeführt wird. Bei Malware werden häufig Anti-Debugging-Techniken verwendet, um der Analyse zu entgehen. Diese Techniken können zur Laufzeit erkannt werden.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Eine bekannte bösartige ausführbare Datei wurde auf einer EC2 Amazon-Instance oder einem Container ausgeführt.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine bekannte bösartige ausführbare Datei auf einer EC2 Amazon-Instance oder einem Container in Ihrer AWS Umgebung ausgeführt wurde. Dies ist ein starker Indikator dafür, dass die Instance oder der Container potenziell kompromittiert und Malware ausgeführt wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext, sodass dieser Befund nur generiert wird, wenn die zugehörige Aktivität und der zugehörige Kontext potenziell verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Execution:Runtime/SuspiciousShellCreated

Ein Netzwerkdienst oder ein über das Netzwerk zugänglicher Prozess auf einer EC2 Amazon-Instance oder in einem Container hat einen interaktiven Shell-Prozess gestartet.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass ein über das Netzwerk zugänglicher Service auf einer EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung eine interaktive Shell gestartet hat. Unter bestimmten Umständen kann dieses Szenario auf ein Verhalten nach der Nutzung hinweisen. Interaktive Shells ermöglichen es Angreifern, beliebige Befehle auf einer kompromittierten Instance oder einem kompromittierten Container auszuführen.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen. Sie können die über das Netzwerk zugänglichen Prozessinformationen in den Details des übergeordneten Prozesses einsehen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/ElevationToRoot

Ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder dem aufgelisteten Amazon-Container ausgeführt wird, hat Root-Rechte übernommen.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf dem aufgelisteten Amazon EC2 oder im aufgelisteten Container in Ihrer AWS Umgebung läuft, durch ungewöhnliche oder verdächtige setuid Binärausführung Root-Rechte erlangt hat. Dies deutet darauf hin, dass ein laufender Prozess potenziell kompromittiert wurde, z. EC2 B. durch einen Exploit oder durch setuid Ausnutzung. Mithilfe der Root-Rechte kann der Angreifer möglicherweise Befehle auf der Instance oder dem Container ausführen.

Es GuardDuty ist zwar so konzipiert, dass es diesen Erkennungstyp nicht für Aktivitäten generiert, bei denen der sudo Befehl regelmäßig verwendet wird, generiert dieses Ergebnis jedoch, wenn es die Aktivität als ungewöhnlich oder verdächtig identifiziert.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Der Befund enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Discovery:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Informationen über das lokale System, die umliegende AWS Infrastruktur oder die Container-Infrastruktur zu erhalten.

Standard-Schweregrad: Niedrig

Feature: Laufzeit-Überwachung

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder dem aufgelisteten Amazon-Container in Ihrer AWS Umgebung ausgeführt wird, einen Befehl ausgeführt hat, der einem Angreifer wichtige Informationen zur Verfügung stellen könnte, um den Angriff potenziell voranzutreiben. Die folgenden Informationen wurden möglicherweise abgerufen:

Die EC2 Amazon-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse aus mehreren Ressourcentypen. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole. Die Details zum verdächtigen Befehl finden Sie im service.runtimeDetails.context-Feld des Ergebnis-JSONs. Das Ergebnis enthält zusätzlichen Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, sodass weitere Untersuchungen erforderlich sind.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

Persistence:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, dauerhaft auf Ihre AWS Umgebung zuzugreifen und sie zu kontrollieren.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wird, einen verdächtigen Befehl ausgeführt hat. Der Befehl installiert eine Persistenzmethode, die es ermöglicht, dass Malware ununterbrochen ausgeführt wird, oder es einem Angreifer ermöglicht, kontinuierlich auf die potenziell gefährdete Instanz oder den Container-Ressourcentyp zuzugreifen. Dies könnte bedeuten, dass ein Systemdienst installiert oder geändert wurde, dass der Systemkonfiguration geändert crontab wurde oder dass ein neuer Benutzer zur Systemkonfiguration hinzugefügt wurde.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die EC2 Amazon-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der potenziell gefährdeten Ressource finden Sie unter Ressourcentyp in den Ergebnisdetails in der GuardDuty Konsole. Die Details zum verdächtigen Befehl finden Sie im service.runtimeDetails.context-Feld des Ergebnis-JSONs. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

PrivilegeEscalation:Runtime/SuspiciousCommand

Ein verdächtiger Befehl wurde auf einer EC2 Amazon-Instance oder in einem Container ausgeführt, der es einem Angreifer ermöglicht, Rechte zu eskalieren.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Prozess, der auf der aufgelisteten EC2 Amazon-Instance oder in einem Container in Ihrer AWS Umgebung ausgeführt wird, einen verdächtigen Befehl ausgeführt hat. Der Befehl versucht, eine Rechteeskalation durchzuführen, die es einem Angreifer ermöglicht, Aufgaben mit hohen Rechten auszuführen.

GuardDuty untersucht die zugehörige Laufzeitaktivität und den zugehörigen Kontext und generiert diesen Befundtyp nur, wenn die zugehörige Aktivität und der zugehörige Kontext ungewöhnlich oder verdächtig sind.

Die EC2 Amazon-Instance oder der Container, der in den Ergebnisdetails aufgeführt ist, wurde möglicherweise kompromittiert.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.

DefenseEvasion:Runtime/KernelModuleLoaded

Ein Kernelmodul wurde auf eine EC2 Amazon-Instance geladen, was auf einen Versuch hinweist, Zugriff auf Kernel-Ebene zu erhalten.

Standard-Schweregrad: Hoch

Dieser Befund weist darauf hin, dass ein Kernelmodul auf die EC2 aufgelistete Instance geladen wurde. Da Kernelmodule die höchsten Rechte auf Systemebene (Ring 0) haben, könnte dies darauf hindeuten, dass sich ein Bedrohungsakteur Zugriff auf Kernelebene verschafft hat. Diese Zugriffsebene ermöglicht die vollständige Kontrolle über das System.

Der GuardDuty Runtime-Agent überwacht Ereignisse von mehreren Ressourcen aus. Informationen zur Identifizierung der betroffenen Ressource finden Sie in den Ergebnisdetails in der GuardDuty Konsole unter Ressourcentyp. Gegebenenfalls ist im Ergebnis zusätzlicher Kontext, einschließlich Informationen zum Prozess und zur Herkunft der Prozesse, für weitere Untersuchungen verfügbar.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Ressource kompromittiert sein. Weitere Informationen finden Sie unter Behebung der Ergebnisse von Runtime Monitoring.