Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Jenis penemuan Runtime Monitoring

Amazon GuardDuty menghasilkan temuan Runtime Monitoring berikut untuk menunjukkan potensi ancaman berdasarkan perilaku tingkat sistem operasi dari EC2 host dan container Amazon di klaster Amazon EKS, beban kerja Fargate dan Amazon ECS, serta instans Amazon. EC2

CryptoCurrency:Runtime/BitcoinTool.B

EC2 Instance Amazon atau container menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda menanyakan alamat IP yang terkait dengan aktivitas terkait cryptocurrency. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika Anda menggunakan EC2 instance ini atau wadah untuk menambang atau mengelola cryptocurrency, atau salah satu dari ini terlibat dalam aktivitas blockchain, CryptoCurrency:Runtime/BitcoinTool.B temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan supresi harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai CryptoCurrency:Runtime/BitcoinTool.B. Kriteria filter kedua harus berupa ID Instance dari instance atau Container Image ID dari container yang terlibat dalam cryptocurrency atau aktivitas terkait blockchain. Untuk informasi lebih lanjut, lihat Aturan supresi.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

EC2 Instance Amazon atau container menanyakan IP yang terkait dengan server perintah dan kontrol yang dikenal.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan alamat IP yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. Instans yang tercantum atau kontainer mungkin berpotensi disusupi. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan (DDoS) terdistribusi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

EC2 Instance Amazon Anda atau wadah membuat koneksi ke jaringan Tor sebagai relay Tor.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda membuat koneksi ke jaringan Tor dengan cara yang menunjukkan bahwa itu bertindak sebagai relay Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Tor meningkatkan anonimitas komunikasi dengan meneruskan lalu lintas klien yang mungkin terlarang dari satu relai Tor ke yang lain.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

EC2 Instance Amazon atau container Anda membuat koneksi ke Tor Guard atau node Authority.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda membuat koneksi ke Tor Guard atau node Authority. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Tor Guard dan simpul Otoritas bertindak sebagai gateway awal ke dalam jaringan Tor. Lalu lintas ini dapat menunjukkan bahwa EC2 instance atau wadah ini berpotensi dikompromikan dan bertindak sebagai klien di jaringan Tor. Temuan ini mungkin menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

EC2 Instance Amazon atau wadah mencoba berkomunikasi dengan alamat IP host jarak jauh yang merupakan lubang hitam yang dikenal.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena mencoba berkomunikasi dengan alamat IP lubang hitam (atau lubang wastafel). Lubang hitam adalah tempat di jaringan di mana lalu lintas yang masuk atau keluar, diam-diam dibuang tanpa menginformasikan sumber bahwa datanya tidak sampai ke penerima yang dimaksudkan. Alamat IP lubang hitam menentukan mesin host yang tidak berjalan atau alamat yang tidak memiliki host yang ditetapkan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/DropPoint

EC2 Instans Amazon atau wadah mencoba berkomunikasi dengan alamat IP dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP host jarak jauh yang diketahui menyimpan kredensyal dan data curian lainnya yang ditangkap oleh malware.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

EC2 Instance Amazon atau container menanyakan nama domain yang terkait dengan aktivitas cryptocurrency.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan nama domain yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika Anda menggunakan EC2 instance atau wadah ini untuk menambang atau mengelola cryptocurrency, atau salah satu dari ini terlibat dalam aktivitas blockchain, CryptoCurrency:Runtime/BitcoinTool.B!DNS temuan ini bisa menjadi aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan penekanan harus terdiri dari dua kriteria filter. Kriteria pertama harus menggunakan atribut Finding type (Jenis temuan) dengan nilai CryptoCurrency:Runtime/BitcoinTool.B!DNS. Kriteria filter kedua harus berupa ID Instance dari instance atau Container Image ID dari container yang terlibat dalam aktivitas cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan Penindasan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

EC2 Instance Amazon atau container menanyakan nama domain yang dikaitkan dengan server perintah dan kontrol yang dikenal.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda sedang menanyakan nama domain yang terkait dengan server perintah dan kontrol (C&C) yang dikenal. EC2 Instance yang terdaftar atau wadah mungkin dikompromikan. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah untuk anggota botnet.

Botnet adalah kumpulan perangkat yang terhubung ke internet yang mungkin termasuk PCs, server, perangkat seluler, dan perangkat Internet of Things, yang terinfeksi dan dikendalikan oleh jenis malware yang umum. Botnet sering digunakan untuk mendistribusikan malware dan mengumpulkan informasi yang disalahgunakan, seperti nomor kartu kredit. Tergantung pada tujuan dan struktur botnet, server C&C mungkin juga mengeluarkan perintah untuk memulai serangan penolakan layanan (DDoS) terdistribusi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

EC2 Instance Amazon atau wadah menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain yang sedang dialihkan ke alamat IP lubang hitam. Lubang hitam adalah tempat di jaringan di mana lalu lintas yang masuk atau keluar, diam-diam dibuang tanpa menginformasikan sumber bahwa datanya tidak sampai ke penerima yang dimaksudkan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

EC2 Instance Amazon atau kontainer menanyakan nama domain dari host jarak jauh yang diketahui memiliki kredensyal dan data curian lainnya yang ditangkap oleh malware.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain host jarak jauh yang diketahui menyimpan kredensyal dan data curian lainnya yang ditangkap oleh malware.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

EC2 Instance Amazon atau container menanyakan domain yang dihasilkan secara algoritmik. Domain semacam itu biasanya digunakan oleh malware dan bisa menjadi indikasi EC2 instance yang dikompromikan atau wadah.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mencoba menanyakan domain algoritma pembuatan domain (DGA). Sumber daya Anda mungkin telah disusupi.

DGAs digunakan untuk secara berkala menghasilkan sejumlah besar nama domain yang dapat digunakan sebagai titik pertemuan dengan server perintah dan kontrol (C&C) mereka. Server perintah dan kontrol adalah komputer yang mengeluarkan perintah kepada anggota botnet, yang merupakan kumpulan perangkat yang terhubung ke internet yang terinfeksi dan dikendalikan oleh tipe malware yang umum. Banyaknya potensi titik pertemuan mempersulit untuk mematikan botnet secara efektif karena komputer yang terinfeksi mencoba menghubungi beberapa nama domain ini setiap hari untuk menerima pembaruan atau perintah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

EC2 Instance Amazon atau container menanyakan nama domain host jarak jauh yang merupakan sumber serangan unduhan Drive-By yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mungkin terganggu karena menanyakan nama domain host jarak jauh yang merupakan sumber serangan unduhan drive-by yang diketahui. Ini adalah pengunduhan perangkat lunak komputer yang tidak diinginkan dari internet yang dapat memicu penginstalan virus, spyware, atau malware secara otomatis.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

EC2 Instance Amazon atau container menanyakan domain yang terlibat dalam serangan phishing.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda mencoba menanyakan domain yang terlibat dalam serangan phishing. Domain phishing dibuat oleh seseorang yang berpura-pura sebagai lembaga resmi untuk membujuk individu memberikan data sensitif, seperti informasi data pribadi, detail perbankan dan kartu kredit, serta kata sandi. EC2 Instance atau wadah Anda mungkin mencoba mengambil data sensitif yang disimpan di situs web phishing, atau mungkin mencoba menyiapkan situs web phishing. EC2Instance Anda atau wadah mungkin dikompromikan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

EC2 Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang dikaitkan dengan domain yang disalahgunakan yang diketahui.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain atau alamat IP yang disalahgunakan yang diketahui. Contoh domain yang disalahgunakan adalah nama domain tingkat atas (TLDs) dan nama domain tingkat kedua (2LDs) yang menyediakan pendaftaran subdomain gratis serta penyedia DNS dinamis. Aktor ancaman cenderung menggunakan layanan ini untuk mendaftarkan domain secara gratis atau dengan biaya rendah. Domain bereputasi rendah dalam kategori ini mungkin juga merupakan domain kedaluwarsa yang mencari alamat IP parkir registrar dan oleh karena itu mungkin tidak lagi aktif. IP parkir adalah tempat registrar mengarahkan lalu lintas untuk domain yang belum ditautkan ke layanan apa pun. EC2 Instans Amazon yang terdaftar atau wadah dapat dikompromikan karena pelaku ancaman biasanya menggunakan registrar atau layanan ini untuk distribusi C&C dan malware.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain untuk menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

EC2 Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang terkait dengan aktivitas terkait cryptocurrency.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan Bitcoin atau aktivitas terkait cryptocurrency lainnya. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain untuk menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika Anda menggunakan EC2 instance ini atau wadah untuk menambang atau mengelola cryptocurrency, atau jika sumber daya ini terlibat dalam aktivitas blockchain, temuan ini dapat mewakili aktivitas yang diharapkan untuk lingkungan Anda. Jika ini terjadi di AWS lingkungan Anda, kami sarankan Anda membuat aturan penindasan untuk temuan ini. Aturan supresi harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai Impact:Runtime/BitcoinDomainRequest.Reputation. Kriteria filter kedua harus berupa ID Instance dari instance atau ID Gambar Kontainer dari container terlibat dalam aktivitas terkait cryptocurrency atau blockchain. Untuk informasi selengkapnya, lihat Aturan penindasan.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

EC2 Instance Amazon atau container menanyakan domain dengan reputasi rendah yang dikaitkan dengan domain berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah dalam AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang terkait dengan domain berbahaya atau alamat IP yang diketahui. Sebagai contoh, domain mungkin terkait dengan alamat IP sinkhole yang diketahui. Domain sinkhole adalah domain yang sebelumnya dikendalikan oleh aktor ancaman, dan permintaan yang dibuat untuk domain tersebut dapat menunjukkan bahwa instans disusupi. Domain ini juga dapat memiliki korelasi dengan kampanye atau algoritma pembuatan domain berbahaya yang diketahui.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain untuk menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

EC2 Instance Amazon atau container menanyakan nama domain dengan reputasi rendah yang mencurigakan karena usianya, atau popularitasnya yang rendah.

Tingkat keparahan default: Rendah

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda menanyakan nama domain dengan reputasi rendah yang diduga berbahaya. Karakteristik yang diamati dari domain ini konsisten dengan domain berbahaya yang diamati sebelumnya. Namun, model reputasi kami tidak dapat secara definitif menghubungkannya dengan ancaman yang diketahui. Domain-domain ini biasanya baru diamati atau menerima jumlah lalu lintas yang rendah.

Domain bereputasi rendah didasarkan pada model skor reputasi. Model ini mengevaluasi dan memberikan peringkat untuk karakteristik domain untuk menentukan kemungkinan bahwa domain tersebut berbahaya.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

EC2 Instance Amazon atau container melakukan pencarian DNS yang menyelesaikan layanan metadata instance.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance yang terdaftar atau wadah di AWS lingkungan Anda sedang menanyakan domain yang menyelesaikan ke alamat IP EC2 metadata (169.254.169.254). Kueri DNS semacam ini dapat mengindikasikan bahwa instans adalah target dari teknik rebinding DNS. Teknik ini dapat digunakan untuk mendapatkan metadata dari sebuah EC2 instance, termasuk kredensyal IAM yang terkait dengan instance.

DNS rebinding melibatkan menipu aplikasi yang berjalan pada EC2 instance untuk memuat data yang dikembalikan dari URL, di mana nama domain di URL menyelesaikan ke alamat IP EC2 metadata (). 169.254.169.254 Ini menyebabkan aplikasi mengakses EC2 metadata dan mungkin membuatnya tersedia untuk penyerang.

Dimungkinkan untuk mengakses EC2 metadata menggunakan DNS rebinding hanya jika EC2 instance menjalankan aplikasi rentan yang memungkinkan injeksi URLs, atau jika seseorang mengakses URL di browser web yang berjalan pada instance. EC2

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Menanggapi temuan ini, Anda harus mengevaluasi apakah ada aplikasi rentan yang berjalan pada EC2 instance atau pada wadah, atau jika seseorang menggunakan browser untuk mengakses domain yang diidentifikasi dalam temuan. Jika akar penyebabnya adalah aplikasi yang rentan, perbaiki kerentanan tersebut. Jika seseorang mengakses domain yang teridentifikasi melalui browser, blokir domain tersebut atau cegah pengguna mengaksesnya. Jika Anda menentukan temuan ini terkait dengan kedua kasus di atas, Cabut sesi yang terkait dengan instance. EC2

Beberapa AWS pelanggan sengaja memetakan alamat IP metadata ke nama domain di server DNS otoritatif mereka. Jika penggunaan lingkungan Anda memang demikian adanya, kami menyarankan Anda mengatur aturan supresi untuk temuan ini. Aturan supresi harus terdiri dari dua kriteria filter. Kriteria filter pertama harus menggunakan atribut Jenis temuan dengan nilai UnauthorizedAccess:Runtime/MetaDataDNSRebind. Kriteria filter kedua harus domain permintaan DNS atau ID Gambar Kontainer wadah. Nilai domain permintaan DNS harus sesuai dengan domain yang telah Anda petakan ke alamat IP metadata (). 169.254.169.254 Untuk informasi tentang membuat aturan supresi, lihat Aturan supresi.

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

File biner yang baru dibuat atau baru saja dimodifikasi dalam kontainer telah dijalankan.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa file biner yang baru dibuat atau yang baru saja dimodifikasi, dalam wadah telah dieksekusi. Praktik terbaiknya adalah menjaga kontainer tetap bersifat imutabel pada saat waktu proses, dan file biner, skrip, atau pustaka tidak boleh dibuat atau dimodifikasi selama masa pakai kontainer. Perilaku ini menunjukkan bahwa pelaku berbahaya yang telah mendapatkan akses ke kontainer telah mengunduh dan menjalankan malware atau perangkat lunak lain sebagai bagian dari penyusupan yang potensial. Meskipun jenis aktivitas ini bisa menjadi indikasi adanya penyusupan, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Untuk mengidentifikasi proses modifikasi dan biner baru, lihat detail proses Modifikasi dan detail Proses

Rincian proses modifikasi termasuk dalam service.runtimeDetails.context.modifyingProcess bidang penemuan JSON, atau di bawah Proses Memodifikasi di panel rincian temuan. Untuk jenis temuan ini, proses modifikasi adalah/usr/bin/dpkg, seperti yang diidentifikasi oleh service.runtimeDetails.context.modifyingProcess.executablePath bidang temuan JSON, atau sebagai bagian dari Proses Memodifikasi di panel rincian temuan.

Rincian biner baru atau modifikasi yang dieksekusi disertakan dalam JSON temuan, atau bagian Proses di bawah rincian Runtime. service.runtimeDetails.process Untuk jenis temuan ini, biner baru atau yang dimodifikasi adalah/usr/bin/python3.8, seperti yang ditunjukkan oleh bidang service.runtimeDetails.process.executablePath (Jalur yang dapat dieksekusi).

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Sebuah proses di dalam kontainer berkomunikasi dengan daemon Docker menggunakan soket Docker.

Tingkat keparahan default: Sedang

Soket Docker adalah Soket Domain Unix yang digunakan daemon Docker (dockerd) untuk berkomunikasi dengan kliennya. Sebuah klien dapat melakukan berbagai tindakan, seperti membuat kontainer dengan berkomunikasi dengan daemon Docker melalui soket Docker. Proses kontainer yang mengakses soket Docker adalah hal yang mencurigakan. Proses kontainer dapat keluar dari wadah dan mendapatkan akses tingkat host dengan berkomunikasi dengan soket Docker dan membuat wadah istimewa.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

Upaya melarikan diri kontainer melalui runC terdeteksi.

Tingkat keparahan default: Tinggi

runC adalah runtime kontainer tingkat rendah yang digunakan runtime kontainer tingkat tinggi, seperti Docker dan Containerd untuk menelurkan dan menjalankan container. RunC selalu dieksekusi dengan hak akses root karena perlu melakukan tugas tingkat rendah untuk membuat wadah. Aktor ancaman dapat memperoleh akses tingkat host dengan memodifikasi atau mengeksploitasi kerentanan dalam biner RuNC.

Temuan ini mendeteksi modifikasi biner runC dan upaya potensial untuk mengeksploitasi kerentanan RuNC berikut:

Temuan ini mungkin menunjukkan bahwa pelaku berbahaya telah berusaha melakukan eksploitasi di salah satu jenis kontainer berikut:

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Upaya pelarian kontainer melalui agen CGroups rilis terdeteksi.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa percobaan untuk memodifikasi file agen rilis grup kontrol (cgroup) telah terdeteksi. Linux menggunakan grup kontrol (cgroup) untuk membatasi, menghitung, dan mengisolasi penggunaan sumber daya dari kumpulan proses. Setiap cgroup memiliki file agen rilis (release_agent), skrip yang dijalankan Linux ketika proses apa pun di dalam cgroup berakhir. File agen rilis selalu dijalankan di tingkat host. Pelaku ancaman di dalam kontainer dapat melarikan diri ke host dengan menulis perintah arbitrer ke file agen rilis milik cgroup. Ketika proses di dalam cgroup tersebut berakhir, perintah yang ditulis oleh pelaku akan dijalankan.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

Injeksi proses menggunakan sistem file proc terdeteksi dalam wadah atau instance Amazon. EC2

Tingkat keparahan default: Tinggi

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menyuntikkan kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Sistem file proc (procfs) adalah sistem file khusus di Linux yang menyajikan memori virtual proses dalam bentuk file. Jalur file itu adalah/proc/PID/mem, di mana PID ID unik dari proses tersebut. Pelaku ancaman dapat menulis ke file ini untuk menyuntikkan kode ke dalam proses. Temuan ini mengidentifikasi potensi upaya untuk menulis ke file ini.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Injeksi proses menggunakan panggilan sistem ptrace terdeteksi dalam wadah atau EC2 instance Amazon.

Tingkat keparahan default: Sedang

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menyuntikkan kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Suatu proses dapat menggunakan panggilan sistem ptrace untuk menyuntikkan kode ke dalam proses lain. Temuan ini mengidentifikasi potensi upaya untuk menyuntikkan kode ke dalam proses menggunakan panggilan sistem ptrace.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Injeksi proses melalui penulisan langsung ke memori virtual terdeteksi dalam wadah atau EC2 instance Amazon.

Tingkat keparahan default: Tinggi

Injeksi proses adalah teknik yang digunakan pelaku ancaman untuk menyuntikkan kode ke dalam proses guna menghindari pertahanan dan berpotensi meningkatkan hak istimewa. Suatu proses dapat menggunakan panggilan sistem seperti process_vm_writev untuk langsung menyuntikkan kode ke memori virtual proses lain. Temuan ini mengidentifikasi upaya potensial untuk menyuntikkan kode ke dalam proses menggunakan panggilan sistem untuk menulis ke memori virtual proses.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/ReverseShell

Proses dalam wadah atau EC2 instance Amazon telah membuat shell terbalik.

Tingkat keparahan default: Tinggi

Reverse shell adalah sesi shell yang dibuat pada koneksi yang dimulai dari host target ke host pelaku. Ini berbeda dengan shell normal yang dimulai dari host pelaku ke host target. Pelaku ancaman membuat reverse shell untuk menjalankan perintah pada target setelah mendapatkan akses awal ke target. Temuan ini mengidentifikasi koneksi shell terbalik yang berpotensi mencurigakan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait ditemukan tidak biasa atau mencurigakan. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Agen GuardDuty keamanan memantau peristiwa dari berbagai sumber. Untuk mengidentifikasi sumber daya yang terkena dampak, lihat Jenis sumber daya di detail temuan di GuardDuty konsol. Jika aktivitas ini tidak terduga, jenis sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/FilelessExecution

Proses dalam wadah atau EC2 instance Amazon mengeksekusi kode dari memori.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda saat sebuah proses dijalankan menggunakan file eksekutabel dalam memori pada disk. Ini adalah teknik penghindaran pertahanan umum yang tidak menulis eksekutabel berbahaya ke disk untuk menghindari deteksi berbasis pemindaian sistem file. Meskipun teknik ini biasa digunakan oleh malware, teknik ini juga memiliki beberapa kasus penggunaan yang sah. Salah satu contohnya adalah compiler just-in-time (JIT) yang menulis kode yang dikompilasi ke memori dan mengeksekusinya dari memori.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Sebuah wadah atau EC2 instans Amazon mengeksekusi file biner yang terkait dengan aktivitas penambangan cryptocurrency.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance atau wadah yang terdaftar di AWS lingkungan Anda mengeksekusi file biner yang terkait dengan aktivitas penambangan cryptocurrency. Pelaku ancaman dapat berusaha mengambil kendali atas sumber daya komputasi guna memanfaatkannya dengan tujuan jahat untuk penambangan mata uang kripto yang tidak sah.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya di panel temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol dan lihatRemediasi temuan Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Pustaka yang baru dibuat atau yang baru saja dimodifikasi telah dimuat oleh sebuah proses di dalam kontainer.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa pustaka dibuat atau dimodifikasi di dalam kontainer selama waktu proses dan dimuat oleh sebuah proses yang berjalan di dalam kontainer tersebut. Praktik terbaiknya adalah menjaga kontainer tetap imutabel pada waktu proses, dan tidak membuat atau memodifikasi file biner, skrip, atau pustaka selama masa pakai kontainer. Pemuatan pustaka yang baru dibuat atau dimodifikasi dalam kontainer dapat mengindikasikan aktivitas yang mencurigakan. Perilaku ini menunjukkan bahwa pelaku berbahaya kemungkinan telah mendapatkan akses ke kontainer, telah mengunduh, dan menjalankan malware atau perangkat lunak lain sebagai bagian dari penyusupan yang potensial. Meskipun jenis aktivitas ini bisa menjadi indikasi adanya penyusupan, ini juga merupakan pola penggunaan yang umum. Oleh karena itu, GuardDuty gunakan mekanisme untuk mengidentifikasi contoh mencurigakan dari aktivitas ini dan menghasilkan jenis temuan ini hanya untuk contoh yang mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Sebuah proses di dalam kontainer yang melakukan mounting sistem file host pada saat waktu proses.

Tingkat keparahan default: Sedang

Beberapa teknik pelarian kontainer memerlukan mounting sistem file host di dalam kontainer pada saat waktu proses. Temuan ini memberi tahu Anda bahwa proses di dalam kontainer yang berpotensi mencoba melakukan mounting sistem file host, yang mungkin menunjukkan percobaan untuk meloloskan diri menuju host.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Sebuah proses yang digunakan userfaultfd sistem panggilan untuk menangani kesalahan halaman dalam ruang pengguna.

Tingkat keparahan default: Sedang

Biasanya, kesalahan halaman ditangani oleh kernel di ruang kernel. Namun, panggilan userfaultfd sistem memungkinkan proses untuk menangani kesalahan halaman pada sistem file di ruang pengguna. Ini adalah fitur berguna yang memungkinkan implementasi sistem file ruang pengguna. Di sisi lain, ini juga dapat digunakan oleh proses yang berpotensi berbahaya untuk menginterupsi kernel dari ruang pengguna. Menginterupsi kernel dengan menggunakan panggilan userfaultfd sistem adalah teknik eksploitasi umum untuk memperluas jendela balapan selama eksploitasi kondisi ras kernel. Penggunaan userfaultfd dapat menunjukkan aktivitas mencurigakan pada instans Amazon Elastic Compute Cloud EC2 (Amazon).

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/SuspiciousTool

Container atau EC2 instance Amazon menjalankan file biner atau skrip yang sering digunakan dalam skenario keamanan ofensif seperti keterlibatan pentesting.

Tingkat keparahan default: Variabel

Tingkat keparahan temuan ini bisa tinggi atau rendah, tergantung pada apakah alat mencurigakan yang terdeteksi dianggap penggunaan ganda atau hanya untuk penggunaan ofensif.

Temuan ini memberi tahu Anda bahwa alat yang mencurigakan telah dieksekusi pada EC2 instance atau wadah di lingkungan Anda AWS . Ini termasuk alat yang digunakan dalam keterlibatan uji penetrasi, juga disebut sebagai alat backdoor, pemindai jaringan, dan sniffer jaringan. Semua alat ini dapat digunakan dalam konteks jinak tetapi juga sering digunakan oleh pelaku ancaman dengan niat jahat. Mengamati alat keamanan ofensif dapat menunjukkan bahwa EC2 contoh atau wadah terkait telah dikompromikan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau wadah yang menunjukkan kompromi.

Tingkat keparahan default: Variabel

Bergantung pada dampak dari pola berbahaya yang diamati, tingkat keparahan jenis temuan ini bisa rendah, sedang, atau tinggi.

Temuan ini memberi tahu Anda bahwa perintah mencurigakan telah dijalankan dan ini menunjukkan bahwa EC2 instance Amazon atau wadah di AWS lingkungan Anda telah disusupi. Hal ini mungkin berarti bahwa file diunduh dari sumber yang mencurigakan kemudian dijalankan, atau proses yang sedang berjalan menampilkan pola yang diketahui berbahaya di baris perintahnya. Hal ini lebih lanjut menunjukkan bahwa malware sedang berjalan di sistem.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Sebuah perintah telah dijalankan pada EC2 instance Amazon yang terdaftar atau wadah, ia mencoba untuk memodifikasi atau menonaktifkan mekanisme pertahanan Linux, seperti firewall atau layanan sistem penting.

Tingkat keparahan default: Variabel

Bergantung pada mekanisme pertahanan mana yang telah dimodifikasi atau dinonaktifkan, tingkat keparahan jenis temuan ini bisa tinggi, sedang, atau rendah.

Temuan ini memberi tahu Anda bahwa perintah yang berusaha menyembunyikan serangan dari layanan keamanan sistem lokal, telah dijalankan. Ini termasuk tindakan seperti menonaktifkan firewall Unix, memodifikasi tabel IP lokal, menghapus crontab entri, menonaktifkan layanan lokal, atau mengambil alih fungsi. LDPreload Setiap modifikasi sangat mencurigakan dan merupakan potensi indikator penyusupan. Oleh karena itu, mekanisme ini mendeteksi atau mencegah penyusupan sistem lebih lanjut.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Proses dalam wadah atau EC2 instans Amazon telah menjalankan tindakan anti-debugging menggunakan panggilan sistem ptrace.

Tingkat keparahan default: Rendah

Temuan ini menunjukkan bahwa proses yang berjalan pada EC2 instance Amazon yang terdaftar atau wadah dalam AWS lingkungan Anda telah menggunakan panggilan sistem ptrace dengan PTRACE_TRACEME opsi tersebut. Aktivitas ini akan menyebabkan debugger terlampir terlepas dari proses yang sedang berjalan. Jika tidak ada debugger yang terlampir, maka tidak akan ada efek. Namun, aktivitas itu sendiri menimbulkan kecurigaan. Hal ini mungkin menunjukkan bahwa malware sedang berjalan di sistem. Malware sering menggunakan teknik anti-debugging untuk menghindari analisis, dan teknik ini dapat dideteksi saat runtime.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

File executable berbahaya yang diketahui telah dieksekusi pada EC2 instance Amazon atau wadah.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa executable berbahaya yang diketahui telah dieksekusi di EC2 instans Amazon atau wadah di lingkungan Anda. AWS Ini adalah indikator kuat bahwa instans atau kontainer berpotensi telah disusupi dan malware telah dijalankan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait sehingga menghasilkan temuan ini hanya ketika aktivitas dan konteks terkait berpotensi mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Execution:Runtime/SuspiciousShellCreated

Layanan jaringan atau proses yang dapat diakses jaringan pada EC2 instans Amazon, atau dalam wadah telah memulai proses shell interaktif.

Tingkat keparahan default: Rendah

Temuan ini memberi tahu Anda bahwa layanan yang dapat diakses jaringan pada EC2 instans Amazon atau dalam wadah di AWS lingkungan Anda telah meluncurkan shell interaktif. Dalam keadaan tertentu, skenario ini dapat mengindikasikan perilaku pasca-eksploitasi. Shell interaktif memungkinkan penyerang untuk menjalankan perintah arbitrer pada instans atau kontainer yang terancam bahaya.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut. Anda dapat melihat informasi proses yang dapat diakses jaringan di detail proses induk.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/ElevationToRoot

Proses yang berjalan pada EC2 instans atau penampung Amazon yang terdaftar telah mengasumsikan hak akses root.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan di Amazon yang terdaftar EC2 atau dalam wadah yang terdaftar di AWS lingkungan Anda telah mengasumsikan hak akses root melalui eksekusi biner yang tidak biasa atau mencurigakansetuid. Ini menunjukkan bahwa proses yang sedang berjalan berpotensi dikompromikan, EC2 misalnya melalui eksploitasi, atau melalui setuid eksploitasi. Dengan menggunakan hak akses root, penyerang berpotensi mengeksekusi perintah pada instance atau container.

Meskipun GuardDuty dirancang untuk tidak menghasilkan jenis temuan ini untuk aktivitas yang melibatkan penggunaan sudo perintah secara teratur, itu akan menghasilkan temuan ini ketika mengidentifikasi aktivitas sebagai tidak biasa atau mencurigakan.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Discovery:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada EC2 instans Amazon atau dalam wadah, yang memungkinkan penyerang untuk mendapatkan informasi tentang sistem lokal, AWS infrastruktur sekitarnya, atau infrastruktur kontainer.

Tingkat keparahan default: Rendah

Fitur: Pemantauan Runtime

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instans atau wadah Amazon yang terdaftar di AWS lingkungan Anda telah menjalankan perintah yang mungkin memberi penyerang informasi penting untuk berpotensi memajukan serangan. Informasi berikut mungkin telah diambil:

EC2 Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari beberapa jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di bidang service.runtimeDetails.context JSON temuan. Konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

Persistence:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada EC2 instans Amazon atau dalam wadah, yang memungkinkan penyerang untuk mempertahankan akses dan kontrol di lingkungan Anda. AWS

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance Amazon yang terdaftar atau dalam wadah di AWS lingkungan Anda telah menjalankan perintah yang mencurigakan. Perintah ini menginstal metode persistensi yang memungkinkan malware berjalan tanpa gangguan, atau memungkinkan penyerang untuk terus mengakses instance atau tipe sumber daya kontainer yang berpotensi dikompromikan. Ini berpotensi berarti bahwa layanan sistem telah diinstal atau dimodifikasi, crontab telah dimodifikasi, atau pengguna baru telah ditambahkan ke konfigurasi sistem.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

EC2 Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Anda dapat menemukan detail tentang perintah mencurigakan di bidang service.runtimeDetails.context JSON temuan. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

PrivilegeEscalation:Runtime/SuspiciousCommand

Perintah mencurigakan telah dijalankan pada EC2 instance Amazon atau dalam wadah, yang memungkinkan penyerang untuk meningkatkan hak istimewa.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa proses yang berjalan pada EC2 instance Amazon yang terdaftar atau dalam wadah di AWS lingkungan Anda telah menjalankan perintah yang mencurigakan. Perintah mencoba untuk melakukan eskalasi hak istimewa, yang memungkinkan musuh untuk melakukan tugas-tugas hak istimewa yang tinggi.

GuardDuty memeriksa aktivitas dan konteks runtime terkait, dan menghasilkan jenis temuan ini hanya jika aktivitas dan konteks terkait tidak biasa atau mencurigakan.

EC2 Instance Amazon atau wadah yang tercantum dalam detail temuan mungkin telah disusupi.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Untuk informasi selengkapnya, lihat Remediasi temuan Runtime Monitoring.

DefenseEvasion:Runtime/KernelModuleLoaded

Modul kernel dimuat pada EC2 instance Amazon, yang menunjukkan upaya untuk mendapatkan akses tingkat kernel.

Tingkat keparahan default: Tinggi

Temuan ini menunjukkan bahwa modul kernel dimuat pada EC2 instance yang terdaftar. Karena modul kernel memiliki hak istimewa tingkat sistem tertinggi (ring 0), ini dapat menunjukkan bahwa aktor ancaman telah memperoleh akses tingkat kernel. Tingkat akses ini memungkinkan kontrol penuh atas sistem.

Agen GuardDuty runtime memantau peristiwa dari berbagai sumber daya. Untuk mengidentifikasi sumber daya yang terpengaruh, lihat Jenis sumber daya dalam detail temuan di GuardDuty konsol. Bila berlaku, konteks tambahan, termasuk informasi garis keturunan proses dan proses, tersedia dalam temuan untuk penyelidikan lebih lanjut.

Rekomendasi Perbaikan:

Jika aktivitas ini tidak terduga, sumber daya Anda mungkin telah disusupi. Lihat informasi yang lebih lengkap di Remediasi temuan Runtime Monitoring.