拦截恶意IP访问EC2实例或者阻止EC2实例外联恶意IP

博客地址:https://aws.amazon.com/blogs/security/how-to-use-amazon-guardduty-and-aws-web-application-firewall-to-automatically-block-suspicious-hosts/

解决方案思路

GuardDuty发现相关的告警后,

  1. 触发一个Lambda,这个Lambda将恶意IP加入WAF的拦截黑名单中,以及VPC的NACL;

  2. 由于WAF有黑名单的个数限制,需要定期清理。产生的恶意IP及时间记录在DynamoDB,默认保留恶意IP12个小时,可以根据需求调整保留时长。使用另外一个Lambda 每5分钟清理一次黑名单。

  3. 发送告警通知到相关人员。

适用的发现类型

UnauthorizedAccess:EC2/SSHBruteForce

发现您的AWS环境中一个EC2实例存在基于 Linux 系统的 SSH 服务密码的暴力破解攻击。

UnauthorizedAccess:EC2/RDPBruteForce

发现您的AWS环境中一个EC2实例存在基于 Windows 系统的 RDP 服务密码的暴力破解攻击。

Recon:EC2/PortProbeUnprotectedPort

发现您的AWS环境中EC2 实例上的某个端口未被安全组、访问控制列表 (ACL) 或主机防火墙(例如 Linux IPChains)阻止,且互联网上的已知扫描程序正在主动探测该端口。

Trojan:EC2/BlackholeTraffic

发现您的AWS环境中的EC2 实例可能受到了威胁,因为它正试图与黑洞的 IP 地址通信。黑洞指的是在网络中,传入或传出的流量会被悄无声息地丢弃,而不会通知源数据没有到达预期的接收者。

Backdoor:EC2/XORDDOS

发现您的AWS环境中的 EC2 实例正试图与一个与 XOR DDoS 恶意软件相关联的 IP 地址通信。XOR DDoS 是一种劫持 Linux 系统的木马恶意软件。

UnauthorizedAccess:EC2/TorIPCaller

发现您的AWS 环境中的 EC2 实例正在接收来自 Tor 出口节点的入站连接。Tor 是一款用于实现匿名通信的软件。它通过一系列网络节点之间的中继器对通信进行加密和随机跳转。

Trojan:EC2/DropPoint

发现您的AWS 环境中的 EC2 实例正试图与远程主机的 IP 地址通信,而该主机已知持有恶意软件捕获的凭证和其他被盗数据。

上一页删除EC2上的恶意文件下一页创建自定义脚本自动隔离EC2实例

最后更新于