GuardDuty Runtime Monitoring の検出結果タイプ - Amazon GuardDuty
CryptoCurrency:Runtime/BitcoinTool.BBackdoor:Runtime/C&CActivity.BUnauthorizedAccess:Runtime/TorRelayUnauthorizedAccess:Runtime/TorClientTrojan:Runtime/BlackholeTrafficTrojan:Runtime/DropPointCryptoCurrency:Runtime/BitcoinTool.B!DNSBackdoor:Runtime/C&CActivity.B!DNSTrojan:Runtime/BlackholeTraffic!DNSTrojan:Runtime/DropPoint!DNSTrojan:Runtime/DGADomainRequest.C!DNSTrojan:Runtime/DriveBySourceTraffic!DNSTrojan:Runtime/PhishingDomainRequest!DNSImpact:Runtime/AbusedDomainRequest.ReputationImpact:Runtime/BitcoinDomainRequest.ReputationImpact:Runtime/MaliciousDomainRequest.ReputationImpact:Runtime/SuspiciousDomainRequest.ReputationUnauthorizedAccess:Runtime/MetadataDNSRebindExecution:Runtime/NewBinaryExecutedPrivilegeEscalation:Runtime/DockerSocketAccessedPrivilegeEscalation:Runtime/RuncContainerEscapePrivilegeEscalation:Runtime/CGroupsReleaseAgentModifiedDefenseEvasion:Runtime/ProcessInjection.ProcDefenseEvasion:Runtime/ProcessInjection.PtraceDefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWriteExecution:Runtime/ReverseShellDefenseEvasion:Runtime/FilelessExecutionImpact:Runtime/CryptoMinerExecutedExecution:Runtime/NewLibraryLoadedPrivilegeEscalation:Runtime/ContainerMountsHostDirectoryPrivilegeEscalation:Runtime/UserfaultfdUsageExecution:Runtime/SuspiciousToolExecution:Runtime/SuspiciousCommandDefenseEvasion:Runtime/SuspiciousCommandDefenseEvasion:Runtime/PtraceAntiDebuggingExecution:Runtime/MaliciousFileExecutedExecution:Runtime/SuspiciousShellCreatedPrivilegeEscalation:Runtime/ElevationToRootDiscovery:Runtime/SuspiciousCommandPersistence:Runtime/SuspiciousCommandPrivilegeEscalation:Runtime/SuspiciousCommandDefenseEvasion:Runtime/KernelModuleLoaded

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty Runtime Monitoring の検出結果タイプ

Amazon GuardDuty は、Amazon EKS クラスター、Fargate および Amazon ECS ワークロード、および Amazon EC2 インスタンス内の Amazon EC2 ホストとコンテナからのオペレーティングシステムレベルの動作に基づいて潜在的な脅威を示すために、以下の Runtime Monitoring の検出結果を生成します。

注記

Runtime Monitoring の検出結果タイプは、ホストから収集されたランタイムログに基づいています。ログには、悪意のある攻撃者によってコントロールされる可能性のあるファイルパスなどのフィールドが含まれています。これらのフィールドは、ランタイムコンテキストを提供するために GuardDuty の検出結果にも含まれています。Runtime Monitoring の検出結果を GuardDuty コンソールの外部で処理する場合、検出結果フィールドをサニタイズする必要があります。例えば、検出結果フィールドをウェブページに表示するときに、検索フィールドを HTML でエンコードできます。

トピック

CryptoCurrency:Runtime/BitcoinTool.B

Amazon EC2 インスタンスまたはコンテナが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、暗号通貨関連のアクティビティに関連付けられた IP アドレスをクエリしていることを知らせる AWS ものです。脅威アクターがコンピューティングリソースを制御し、不正な暗号通貨マイニングに故意に転用しようとする可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご使用の AWS 環境でその場合は、この検出結果の抑制ルールを設定することをお勧めします。サプレッションルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B という値を使用します。2 つ目のフィルター条件は、インスタンスの [インスタンス ID]、または暗号通貨やブロックチェーン関連のアクティビティに関わるコンテナの [コンテナイメージ ID] です。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B

Amazon EC2 インスタンスまたはコンテナは、既知のコマンドとコントロールサーバーに関連付けられる IP をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられた IP アドレスをクエリしていることを知らせる AWS ものです。リストされたインスタンスまたはコンテナが侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットとは、一般的なタイプのマルウェアに感染しコントロールされたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

クエリ対象の IP が log4j と関連している場合、関連する検出結果のフィールドには以下の値が表示されます。

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorRelay

Amazon EC2 インスタンスまたはコンテナが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、Tor リレーとして動作していることを示す方法で Tor ネットワークに接続していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正なトラフィックを、ある Tor リレーから別の Tor リレーへと転送することで、通信の匿名性を高めます。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/TorClient

Amazon EC2 インスタンスまたはコンテナが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが Tor Guard または Authority ノードに接続していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスまたはコンテナが侵害され、Tor ネットワークでクライアントとして動作している可能性を示しています。この検出結果は、攻撃者の真のアイデンティティを隠す目的で AWS リソースへの不正アクセスを示している可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic

Amazon EC2 インスタンスまたはコンテナが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、ブラックホール (またはシンクホール) の IP アドレスと通信しようとしているために侵害されている可能性があることを知らせるものです。ブラックホールとは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、意図した受信者にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint

Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、マルウェアによってキャプチャされた認証情報やその他の盗まれたデータを保持することが知られているリモートホストの IP アドレスと通信しようとしていることを知らせるものです。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Amazon EC2 インスタンスまたはコンテナが暗号通貨のアクティビティに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、Bitcoin または他の暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしていることを知らせる AWS ものです。脅威アクターがコンピューティングリソースを制御し、これを不正な暗号通貨マイニングに故意に転用しようとする可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナがを使用する場合、またはこれらのいずれかがブロックチェーンのアクティビティに関与している場合は、この CryptoCurrency:Runtime/BitcoinTool.B!DNS 検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。ご使用の AWS 環境でその場合は、この検出結果の抑制ルールを設定することをお勧めします。抑制ルールは、2 つのフィルター検索条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:Runtime/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、暗号通貨またはブロックチェーンアクティビティに関与するインスタンスの [インスタンス ID]、またはコンテナの [コンテナイメージ ID] である必要があります。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Backdoor:Runtime/C&CActivity.B!DNS

Amazon EC2 インスタンスまたはコンテナが、既知のコマンドとコントロールサーバーに関連付けられるドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられたドメイン名をクエリしていることを知らせる AWS ものです。リストされた EC2 インスタンスまたはコンテナが侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットとは、一般的なタイプのマルウェアに感染し制御されたインターネットコネクテッドデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

クエリ対象のドメイン名が log4j と関連している場合、関連する検出結果のフィールドには以下の値が表示されます。

  • service.additionalInfo.threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

注記

この結果タイプを GuardDuty がどのように生成するかをテストするには、インスタンスからテスト用のドメイン guarddutyc2activityb.com に対して DNS リクエストを実行できます (Linux の場合は dig、Windows の場合は nslookup を使用します)。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/BlackholeTraffic!DNS

Amazon EC2 インスタンスまたはコンテナがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、ブラックホール IP アドレスにリダイレクトされているドメイン名をクエリしているため、侵害されている可能性があることを知らせる AWS ものです。ブラックホールは、送受信トラフィックが警告なしに破棄される、ネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DropPoint!DNS

Amazon EC2 インスタンスまたはコンテナが、マルウェアによって収集された認証情報やその他の盗難されたデータを保持していることが認識されているリモートホストのドメイン名をクエリしています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、マルウェアによってキャプチャされた認証情報やその他の盗まれたデータを保持することが知られているリモートホストのドメイン名をクエリしていることを知らせるものです。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DGADomainRequest.C!DNS

Amazon EC2 インスタンスまたはコンテナがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスまたはコンテナが侵害されている場合があります。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスがドメイン生成アルゴリズム (DGA) ドメインをクエリしようとしていることを知らせる AWS ものです。リソースが侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータであり、一般的なタイプのマルウェアに感染して制御されたインターネットのコネクテッドデバイスのコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この検出結果は、GuardDuty 脅威インテリジェンスフィードの既知の DGA ドメインに基づいています。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/DriveBySourceTraffic!DNS

Amazon EC2 インスタンスまたはコンテナがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、ドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが侵害されている可能性があることを知らせる AWS ものです。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールが開始される場合があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Trojan:Runtime/PhishingDomainRequest!DNS

Amazon EC2 インスタンスまたはコンテナがフィッシング攻撃に関与しているドメインをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、フィッシング攻撃に関連するドメインをクエリしようとしていることを知らせる AWS ものです。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報、パスワードなどの機密データを提供するようにユーザーを誘導するために、正当な機関になりすました人物によってセットアップされます。EC2 インスタンスまたはコンテナがフィッシングウェブサイトに保存されている機密データを検索しようとしたり、フィッシングウェブサイトをセットアップしようとしたりする可能性があります。EC2 インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/AbusedDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、既知の悪用されたドメインに関連付けられた評価の低いドメイン名をクエリしています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、既知の悪用されたドメインまたは IP アドレスに関連付けられた評判の低いドメイン名をクエリしていることを知らせる AWS ものです。悪用されたドメインの例としては、トップレベルドメイン名 (TLD) や第 2 レベルドメイン名 (2LD) があり、これらは無料のサブドメイン登録と動的 DNS プロバイダーを提供します。脅威アクターは、無料または低コストでドメインを登録するこれらのサービスを使用する傾向があります。このカテゴリの評価の低いドメインは、レジストラのパーキング IP アドレスを決定する有効期限切れドメインであり、アクティブになっていない可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインに対してトラフィックを誘導する場所です。脅威アクターが一般的にこれらのレジストラのサービスまたは C&C のサービス、マルウェアディストリビューションに使用するため、リストされた Amazon EC2 インスタンスまたはコンテナは侵害される可能性があります。

低評価ドメインは、評価スコアモデルに基づいています。このモデルは、ドメインの特性を評価およびランク付けして、悪意のある可能性を判断します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/BitcoinDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、暗号通貨関連のアクティビティに関連付けられている評判の低いドメイン名をクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、Bitcoin または他の暗号通貨関連のアクティビティに関連付けられた評判の低いドメイン名をクエリしていることを知らせる AWS ものです。脅威アクターがコンピューティングリソースを制御し、不正な暗号通貨マイニングに故意に転用しようとする可能性があります。

低評価ドメインは、評価スコアモデルに基づいています。このモデルは、ドメインの特性を評価およびランク付けして、悪意のある可能性を判断します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

暗号通貨の情報を取り出して管理するためこの EC2 インスタンスまたはコンテナを使用する場合、またはこれらのリソースがブロックチェーンのアクティビティに関与している場合は、この検出結果はご利用の環境の想定されるアクティビティを示している可能性があります。 AWS 環境でその場合は、この検出結果の抑制ルールを設定することをお勧めします。サプレッションルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に Impact:Runtime/BitcoinDomainRequest.Reputation という値を使用します。2 番目のフィルター条件は、インスタンスの [インスタンス ID] か、コンテナの [コンテナイメージ ID] が暗号通貨やブロックチェーン関連のアクティビティに関係しているかどうかです。詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/MaliciousDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、悪意のある既知のドメインに関連付けられた評判の低いドメインをクエリしています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、既知の悪意のあるドメインまたは IP アドレスに関連付けられた評判の低いドメイン名をクエリしていることを知らせる AWS ものです。例えば、ドメインは既知のシンクホール IP アドレスと関連があるなどです。シンクホールドメインは、以前に脅威アクターに制御されたドメインであり、ドメインへのリクエストは、インスタンスが侵害されていることを示している場合があります。これらのドメインは、悪意のある既知のキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特性を評価およびランク付けして、悪意のある可能性を判断します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/SuspiciousDomainRequest.Reputation

Amazon EC2 インスタンスまたはコンテナが、年齢や低人気により、本質的に疑わしい、低評判のドメイン名をクエリしています。

デフォルトの重要度: [Low] (低)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスまたは環境内のコンテナで実行されているプロセスが、悪意のある疑いのある低評価ドメイン名をクエリしていることを知らせる AWS ものです。このドメインで観測された特性は、以前に観測された悪意のあるドメインと一致していました。ただし、当社の評価モデルはそれを既知の脅威と明確に関連付けることができませんでした。通常、これらのドメインは新たに確認されたか、着信トラフィックの量が少ないドメインです。

[Low] (低) のレピュテーションドメインは、レピュテーションスコアモデルに基づいています。このモデルは、ドメインの特性を評価およびランク付けして、悪意のある可能性を判断します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

UnauthorizedAccess:Runtime/MetadataDNSRebind

Amazon EC2 インスタンスまたはコンテナがインスタンスメタデータサービスに解決される DNS ルックアップを実行しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

注記

現在、この検出結果タイプは AMD64 アーキテクチャでのみサポートされています。

この検出結果は、リストされた EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしていることを知らせるものです。この種の DNS クエリは、インスタンスが DNS リバインディング手法のターゲットになっていることを示している可能性があります。この手法を使用して、インスタンスに関連付けられた IAM 認証情報などのメタデータを EC2 インスタンスから取得できます。

DNS リバインディングは、EC2 インスタンスで実行しているアプリケーションをだまして URL からリターンデータをロードするために、URL 内のドメイン名を EC2 メタデータ IP アドレス (169.254.169.254) に解決します。これにより、アプリケーションは EC2 メタデータにアクセスし、そのメタデータを攻撃者が利用できるようになります。

DNS リバインディングを使用して EC2 メタデータにアクセスできるのは、EC2 インスタンスが URL の挿入を許可する脆弱なアプリケーションを実行している場合や、誰かが EC2 インスタンスで実行されているウェブブラウザを使用して URL にアクセスする場合のみです。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

この検出結果に応じて、EC2 インスタンスまたはコンテナで実行されている脆弱性アプリケーションがあるか、誰が検出結果で識別したドメインへアクセスするためブラウザを使用しているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修復します。ユーザーが識別したドメインを閲覧した場合、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この結果が上のいずれかの場合に関連していると判断した場合は、EC2 インスタンスと関連するセッションを取り消します

一部の AWS お客様は、メタデータ IP アドレスを信頼できる DNS サーバーのドメイン名に意図的にマッピングします。お使いの 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。抑制ルールは、2 つのフィルター条件で構成する必要があります。1 つ目の検索条件フィルターでは、[検出結果タイプ] 属性に UnauthorizedAccess:Runtime/MetaDataDNSRebind という値を使用します。2 番目のフィルター条件は、[DNS リクエストドメイン] またはコンテナの [コンテナイメージ ID] です。[DNS リクエストのドメイン] を使用します。値はメタデータの IP アドレス (169.254.169.254) にマッピングしたドメインと一致する必要があります。抑制ルール作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/NewBinaryExecuted

コンテナで新しく作成、または最近変更されたバイナリファイルが実行されました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果から、コンテナ内で新たに作成、または最近変更されたバイナリファイルが実行されたことがわかります。ベストプラクティスは、コンテナをランタイムに不変に保つことです。コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないでください。この動作は、悪意のある攻撃者が潜在的な侵害の一環としてコンテナにアクセスし、マルウェアやその他のソフトウェアをダウンロードして実行したことを示しています。このタイプのアクティビティは侵害の兆候を示している可能性がありますが、一般的な使用パターンでもあります。したがって、GuardDuty はメカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみ、この検出結果タイプを生成します。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。変更プロセスと新しいバイナリを特定するには、[変更プロセス] の詳細と [プロセス] の詳細を表示します。

変更プロセスの詳細は、検出結果の JSON の service.runtimeDetails.context.modifyingProcess フィールド、または検出結果の詳細パネルの [変更プロセス] に記載されています。この検出結果タイプでは、検出結果の JSON の service.runtimeDetails.context.modifyingProcess.executablePath フィールド、または検出結果の詳細パネルの [変更プロセス] の一部として識別されるように、変更プロセスは /usr/bin/dpkg です。

実行された新規または変更されたバイナリの詳細は、検出結果の JSON の service.runtimeDetails.process、または [ランタイムの詳細][プロセス] セクションに記載されています。この検出結果タイプでは、service.runtimeDetails.process.executablePath ([実行可能パス]) フィールドで示されるように、新規または変更されたバイナリは /usr/bin/python3.8 です。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/DockerSocketAccessed

コンテナ内のプロセスは、Docker ソケットを使用して Docker デーモンと通信しています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

Docker ソケットは、Docker デーモン (dockerd) がクライアントとの通信に使用する Unix ドメインソケットです。クライアントは、Docker ソケットを介して Docker デーモンと通信してコンテナを作成するなど、さまざまなアクションを実行できます。コンテナプロセスが Docker ソケットにアクセスするのは疑わしい状況です。コンテナプロセスは、Docker ソケットと通信して特権コンテナを作成することで、コンテナをエスケープし、ホストレベルのアクセスを取得できます。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/RuncContainerEscape

runC を介したコンテナエスケープの試行が検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

RunC は、Docker や Containerd などの高レベルコンテナランタイムがコンテナを生成して実行するために使用する低レベルのコンテナランタイムです。RunC はコンテナを作成する低レベルのタスクを実行する必要があるため、常にルート権限で実行されます。脅威アクターは、runC バイナリの脆弱性を変更または悪用することで、ホストレベルのアクセス権を取得することができます。

この検出結果は、runC バイナリの変更と、次の runC の脆弱性を悪用する試みの可能性を検出します。

  • CVE-2019-5736 – CVE-2019-5736 の悪用には、コンテナ内から runC バイナリを上書きすることが含まれます。この検出結果は、runC バイナリがコンテナ内のプロセスによって変更されたときに呼び出されます。

  • CVE-2024-21626 – CVE-2024-21626 の悪用には、現在の作業ディレクトリ (CWD) またはコンテナをオープンファイル記述子 /proc/self/fd/FileDescriptor に設定することが含まれます。この検出結果は、/proc/self/fd/ 下に現在の作業ディレクトリでのコンテナプロセスが検出されたときに呼び出されます (例: /proc/self/fd/7)。

この検出結果は、悪意のあるアクターが次のいずれかのタイプのコンテナで悪用を試みたことを示している可能性があります。

  • 攻撃者が制御するイメージを含む新しいコンテナ。

  • ホストレベルの runC バイナリに対する書き込みアクセス許可を持つアクターがアクセスできた既存のコンテナ。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

CGroups リリースエージェントを介したコンテナエスケープの試行が検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果から、コントロールグループ (cgroup) リリースエージェントファイルを変更しようとした試みが検出されたことがわかります。Linux はコントロールグループ (cgroup) を使用して、プロセスの集合のリソース使用量を制限したり、説明したり、分離したりします。各 cgroup には、リリースエージェントファイル (release_agent) があります。これは cgroup 内のいずれかのプロセスが終了したときに Linux が実行するスクリプトです。リリースエージェントファイルは常にホストレベルで実行されます。コンテナ内の脅威アクターは、cgroup に属するリリースエージェントファイルに任意のコマンドを書き込むことで、ホストに逃げることができます。その cgroup 内のプロセスが終了すると、アクターによって書き込まれたコマンドが実行されます。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果パネルで [リソースタイプ] を確認してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Proc

proc ファイルシステムを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。proc ファイルシステム (procfs) は、プロセスの仮想メモリをファイルとして表示する Linux の特別なファイルシステムです。ファイルのパスは /proc/PID/mem です。PID はプロセスのユニーク ID です。脅威アクターは、このファイルに書き込んで、プロセスにコードを挿入できます。この検出結果により、このファイルへの書き込みを試みる可能性が明らかになりました。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.Ptrace

ptrace システムコールを使用したプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは ptrace システムコールを使って、別のプロセスにコードを挿入できる。この検出結果により、ptrace システムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

仮想メモリへの直接書き込みによるプロセスインジェクションが、コンテナまたは Amazon EC2 インスタンスで検出されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

プロセスインジェクションは、脅威アクターが防御を回避し潜在的にアクセス許可を昇格させるため、プロセスにコードを挿入するために使用する手法です。プロセスは、process_vm_writev などのシステムコールを使用して、別のプロセスの仮想メモリにコードを直接挿入することができます。この検出結果により、プロセスの仮想メモリに書き込むためのシステムコールを使って、プロセスへのコードの挿入を試みる可能性が明らかになりました。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティは予期しないものである場合、リソースタイプは予期しないものである可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/ReverseShell

コンテナまたは Amazon EC2 インスタンス内のプロセスによってリバースシェルが作成されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

リバースシェルは、ターゲットホストからアクターのホストへの接続で作成されるシェルセッションです。これは、アクターのホストからターゲットのホストに対して開始される通常のシェルとは逆です。脅威アクターは、ターゲットへの最初のアクセス権を取得した後、リバースシェルを作成してターゲット上でコマンドを実行します。この検出結果は、疑わしい可能性のあるリバースシェル接続を特定します。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または疑わしいことが判明した場合にのみ、この検出結果タイプを生成します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

GuardDuty セキュリティエージェントは、複数のソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールで検出結果の詳細でリソースタイプを表示します。このアクティビティが予期しないものである場合、リソースタイプは侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/FilelessExecution

コンテナまたは Amazon EC2 インスタンス内のプロセスが、メモリからコードを実行しています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果により、ディスク上のメモリ内の実行可能ファイルを使用してプロセスが実行されたときに通知されます。これは、ファイルシステムのスキャンによる検出を回避するために、悪意のある実行可能ファイルをディスクに書き込まないようにする、一般的な防御回避の手法です。この手法はマルウェアによって使用されていますが、正当な使用例もいくつかあります。その例の 1 つに、コンパイルされたコードをメモリに書き込み、メモリから実行するジャストインタイム (JIT) コンパイラが関連付けられていることを知らせるものです。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Impact:Runtime/CryptoMinerExecuted

コンテナまたは Amazon EC2 インスタンスが、暗号通貨マイニングアクティビティに関連するバイナリファイルを実行しています。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、 AWS 環境内のリストされた EC2 インスタンスまたはコンテナで実行されているプロセスが、暗号通貨マイニングアクティビティに関連付けられたバイナリファイルを実行していることを知らせるものです。脅威アクターがコンピューティングリソースを制御し、不正な暗号通貨マイニングに故意に転用しようとする可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの [検出結果] パネルで [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けるリソースを特定するには、GuardDuty コンソールの結果の詳細で [リソースタイプ] を表示し、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/NewLibraryLoaded

新しく作成または最近変更されたライブラリが、コンテナ内のプロセスによってロードされました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果から、ライブラリが実行時にコンテナ内で作成または変更され、コンテナ内で実行されているプロセスによって読み込まれたことがわかります。ベストプラクティスは、実行時にはコンテナを不変のままにし、コンテナの存続期間中はバイナリファイル、スクリプト、またはライブラリを作成または変更しないことです。新しく作成または変更されたライブラリをコンテナにロードすると、不審なアクティビティが発生する可能性があります。この動作は、悪意のある攻撃者が、潜在的な侵害の一部としてコンテナにアクセスし、マルウェアや他のソフトウェアをダウンロードして実行した可能性があることを示しています。このタイプのアクティビティは侵害の兆候を示している可能性がありますが、一般的な使用パターンでもあります。したがって、GuardDuty はメカニズムを使用してこのアクティビティの疑わしいインスタンスを識別し、疑わしいインスタンスに対してのみ、この検出結果タイプを生成します。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

コンテナ内のプロセスが、実行時にホストファイルシステムをマウントしました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

複数のコンテナエスケープ手法では、実行時にホストファイルシステムをコンテナ内にマウントします。この検出結果から、コンテナ内のプロセスがホストファイルシステムをマウントしようとした可能性があり、ホストへのエスケープが試みられた可能性があることがわかります。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/UserfaultfdUsage

あるプロセスが、userfaultfd システム呼び出しを使用してユーザースペースのページフォールトを処理しました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

通常、ページフォールトはカーネルスペースのカーネルによって処理されます。ただし、userfaultfd システムコールを使うと、プロセスはユーザースペースのファイルシステムでページフォールトを処理できます。これはユーザースペースのファイルシステムの実装を可能にする便利な機能です。一方で、潜在的に悪意のあるプロセスによってユーザースペースからカーネルを妨害するためにも使用される可能性があります。userfaultfd システムコールを使ってカーネルを中断させることは、カーネルの競合状態を悪用している最中にレースウィンドウを延長するため、一般的に悪用の手法です。userfaultfd を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス上で不審なアクティビティが行われたことを示している可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousTool

コンテナまたは Amazon EC2 インスタンスは、ペンテストエンゲージメントなどの攻撃的なセキュリティシナリオで頻繁に使用されるバイナリファイルまたはスクリプトを実行しています。

デフォルトの重要度: 可変

この検出結果の重要度は、検出された不審なツールがデュアルユースとみなされるか、攻撃専用であるかに応じて、高または低のいずれかになります。

  • 機能: Runtime Monitoring

この検出結果は、疑わしいツールが AWS 環境内の EC2 インスタンスまたはコンテナで実行されたことを知らせるものです。これには、バックドアツール、ネットワークスキャナー、ネットワークスニファーとも呼ばれる、ペンテストエンゲージメントに使用されるツールが含まれます。これらのツールはすべて、悪意のないコンテキストで使用されることがありますが、悪意のある脅威アクターによっても頻繁に使用されます。攻撃的なセキュリティツールを観察すると、関連する EC2 インスタンスまたはコンテナが侵害されていることを示している場合があります。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousCommand

侵害を示す Amazon EC2 インスタンスまたはコンテナで疑わしいコマンドが実行されました。

デフォルトの重要度: 可変

観察された悪意のあるパターンの影響に応じて、この検出結果タイプの重要度は、低、中、高のいずれかになります。

  • 機能: Runtime Monitoring

この検出結果は、疑わしいコマンドが実行されたこと、および AWS 環境内の Amazon EC2 インスタンスまたはコンテナが侵害されたことを示します。これは、ファイルが疑わしいソースからダウンロードされて実行されたか、実行中のプロセスでコマンドラインに既知の悪意のあるパターンが表示されることを意味している可能性があります。これはさらに、システムでマルウェアが実行されていることを示します。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/SuspiciousCommand

リストされている Amazon EC2 インスタンスまたはコンテナでコマンドが実行され、ファイアウォールや重要なシステムサービスなどの Linux 防御メカニズムを変更または無効化しようとしています。

デフォルトの重要度: 可変

どの防御メカニズムを変更または無効にしたかに応じて、この検出結果タイプの重要度は、高、中、低のいずれかになります。

  • 機能: Runtime Monitoring

この検出結果は、ローカルシステムのセキュリティサービスから攻撃を隠そうとするコマンドが実行されたことを知らせるものです。これには、Unix ファイアウォールの無効化、ローカル IP テーブルの変更、crontab エントリの削除、ローカルサービスの無効化、LDPreload 関数の引き継ぎなどのアクションが含まれます。いかなる変更も非常に疑わしく、侵害を示唆している可能性があります。したがって、これらのメカニズムはシステムのさらなる侵害を検出または防止します。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/PtraceAntiDebugging

コンテナまたは Amazon EC2 インスタンスのプロセスが、ptrace システムコールを使用してアンチデバッグ対策を実行しました。

デフォルトの重要度: [Low] (低)

  • 機能: Runtime Monitoring

この検出結果は、リストされた Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが、 PTRACE_TRACEMEオプションで ptrace システムコールを使用したことを示しています。このアクティビティにより、アタッチされているデバッガーは実行中のプロセスからデタッチされます。デバッガーがアタッチされていない場合、影響はありません。ただし、アクティビティ自体が疑惑を生じさせます。これは、システムでマルウェアが実行されていることを示している可能性があります。マルウェアは、アンチデバッグの手法を頻繁に使用して分析を回避し、これらの手法は実行時に検出できます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/MaliciousFileExecuted

既知の悪意のある実行可能ファイルが Amazon EC2 インスタンスまたはコンテナで実行されました。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、既知の悪意のある実行可能ファイルが Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されたことを知らせるものです。これは、インスタンスまたはコンテナが侵害された可能性があり、マルウェアが実行されたことを強く示唆します。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが潜在的に疑わしい場合にのみ、この検出結果を生成するようにします。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Execution:Runtime/SuspiciousShellCreated

Amazon EC2 インスタンスまたはコンテナ内のネットワークサービスまたはネットワークからアクセス可能なプロセスがインタラクティブシェルプロセスを開始しました。

デフォルトの重要度: [Low] (低)

  • 機能: Runtime Monitoring

この検出結果は、Amazon EC2 インスタンスまたは AWS 環境内のコンテナでネットワークにアクセスできるサービスがインタラクティブシェルを起動したことを知らせるものです。特定の状況では、このシナリオは悪用後の動作を示している場合があります。インタラクティブシェルを使用すると、攻撃者は侵害されたインスタンスまたはコンテナで任意のコマンドを実行できます。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。ネットワークからアクセス可能なプロセスの情報は、親プロセスの詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/ElevationToRoot

リストされた Amazon EC2 インスタンスまたはコンテナで実行されているプロセスがルート権限を引き受けています。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた Amazon EC2 または AWS 環境内のリストされたコンテナで実行されているプロセスが、異常または疑わしいsetuidバイナリ実行によってルート権限を引き受けたことを知らせるものです。これは、EC2 インスタンスの実行中のプロセスが悪用または setuid 悪用を通じて侵害された可能性があることを示します。ルート権限を使用すると、攻撃者はインスタンスまたはコンテナでコマンドを実行できる可能性があります。

GuardDuty は、sudo コマンドの通常の使用を含むアクティビティに対してこの検出結果タイプを生成しないように設計されていますが、アクティビティが異常または不審であると識別されると、この検出結果が生成されます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Discovery:Runtime/SuspiciousCommand

疑わしいコマンドが Amazon EC2 インスタンスまたはコンテナで実行され、攻撃者がローカルシステム、周囲の AWS インフラストラクチャ、またはコンテナインフラストラクチャに関する情報を取得できるようになりました。

デフォルトの重要度: [Low] (低)

機能: Runtime Monitoring

この検出結果は、環境 AWS 内のリストされた Amazon EC2 インスタンスまたはコンテナで実行されているプロセスが、攻撃を進めるために攻撃者に重要な情報を提供する可能性のあるコマンドを実行したことを知らせるものです。次の情報が取得された可能性があります。

  • ユーザーやネットワーク設定などのローカルシステム

  • その他の利用可能な AWS リソースとアクセス許可、または

  • サービスやポッドなどの Kubernetes インフラストラクチャ。

検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースタイプからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。不審なコマンドの詳細については、検出結果の JSON の service.runtimeDetails.context フィールドを参照してください。プロセスやプロセスの系統情報を含む追加のコンテキストは、さらなる調査のために調査結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

Persistence:Runtime/SuspiciousCommand

疑わしいコマンドが Amazon EC2 インスタンスまたはコンテナで実行され、攻撃者がお客様の AWS 環境でアクセスと制御を維持できるようになりました。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが疑わしいコマンドを実行したことを知らせるものです。コマンドは永続化メソッドをインストールし、マルウェアが中断なく実行されるようにしたり、攻撃者が侵害された可能性のあるインスタンスまたはコンテナリソースタイプに継続的にアクセスできるようにしたりします。これは、システムサービスがインストールまたは変更されたこと、crontab が変更されたこと、または新しいユーザーがシステム設定に追加されたことを意味する可能性があります。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。

検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。侵害されている可能性のあるリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認してください。不審なコマンドの詳細については、検出結果の JSON の service.runtimeDetails.context フィールドを参照してください。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

PrivilegeEscalation:Runtime/SuspiciousCommand

不審なコマンドが Amazon EC2 インスタンスまたはコンテナで実行されたことにより、攻撃者が権限を昇格できます。

デフォルトの重要度:

  • 機能: Runtime Monitoring

この検出結果は、リストされた Amazon EC2 インスタンスまたは AWS 環境内のコンテナで実行されているプロセスが疑わしいコマンドを実行したことを知らせるものです。コマンドは権限昇格の実行を試みます。これにより、攻撃者が権限の高いタスクを実行できます。

GuardDuty は、関連するランタイムアクティビティとコンテキストを調べ、関連するアクティビティとコンテキストが異常または不審な場合にのみ、この検出結果タイプを生成します。

検出結果の詳細にリストされている Amazon EC2 インスタンスまたはコンテナが侵害されている可能性があります。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。

DefenseEvasion:Runtime/KernelModuleLoaded

カーネルモジュールが Amazon EC2 インスタンスにロードされ、カーネルレベルのアクセスを取得しようとしたことを示します。

デフォルトの重要度: [High] (高)

  • 機能: Runtime Monitoring

この検出結果は、リストされた EC2 インスタンスにカーネルモジュールがロードされたことを示します。カーネルモジュールには最も高いシステムレベルの権限 (リング 0) があるため、これは脅威アクターがカーネルレベルのアクセスを取得していることを示している可能性があります。このレベルのアクセスにより、システムを完全に制御できます。

GuardDuty ランタイムエージェントは、複数のリソースからのイベントをモニタリングします。影響を受けたリソースを特定するには、GuardDuty コンソールの検出結果の詳細で [リソースタイプ] を確認します。該当する場合、プロセスやプロセスの系統情報を含む追加のコンテキストが、さらなる調査のために検出結果で利用できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合、リソースが侵害されている可能性があります。詳細については、「Runtime Monitoring 検出結果の修正」を参照してください。