EC2入侵防护

EC2 finding types

Finding type	Data source	检测内容
Backdoor:EC2/C&CActivity.B 疑似被远程控制- by IP	VPC flow logs	EC2 实例正在请求已知命令和控制服务器相关联的 IP。 该发现通知您，AWS 环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器相关的 IP。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发布命令的计算机。
Backdoor:EC2/C&CActivity.B!DNS 疑似被远程控制-by DNS	DNS logs	EC2 实例正在请求已知命令和控制服务器相关联的域名。 该发现通知您，AWS 环境中列出的实例正在查询与已知命令和控制 (C&C) 服务器相关的域名。列出的实例可能已被入侵。命令和控制服务器是向僵尸网络成员发布命令的计算机。
Backdoor:EC2/DenialOfService.Dns 被DoS攻击-DNS协议攻击类型	VPC flow logs	EC2 实例的行为可能表明它正被使用 DNS 协议执行拒绝服务 (DoS) 攻击。
Backdoor:EC2/DenialOfService.Tcp 被DoS攻击- TCP攻击类型	VPC flow logs	EC2 实例的行为表明它正被使用 TCP 协议执行拒绝服务 (DoS) 攻击。
Backdoor:EC2/DenialOfService.Udp 被DoS攻击- UDP攻击类型	VPC flow logs	EC2 实例的行为表明它正被使用 UDP 协议执行拒绝服务 (DoS) 攻击。
Backdoor:EC2/DenialOfService.UdpOnTcpPorts 被DoS攻击- TCP端口使用UDP协议攻击类型	VPC flow logs	EC2 实例的行为可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。
Backdoor:EC2/DenialOfService.UnusualProtocol 被DoS攻击-异常协议	VPC flow logs	EC2 实例的行为可能表明它正被用于使用异常协议执行拒绝服务 (DoS) 攻击。
Backdoor:EC2/Spambot 被用于发送垃圾邮件	VPC flow logs	EC2 实例通过端口 25 与远程主机通信，表现出异常行为。 此发现通知您，AWS 环境中列出的 EC2 实例正在通过端口 25 与远程主机通信。这种行为很不寻常，因为该 EC2 实例以前从未在端口 25 上进行过通信。传统上，邮件服务器使用端口 25 进行 SMTP 通信。这一发现表明您的 EC2 实例可能被用于发送垃圾邮件。
Behavior:EC2/NetworkPortUnusual 异常远程端口通信	VPC flow logs	EC2出现之前没有在此远程端口上进行通信的历史记录。 如果 EC2 实例通过端口 389 或端口 1389 通信，那么相关的查找严重性将被修改为 "高"，查找字段将包括以下值： service.additionalInfo.context = 可能的 log4j 回调
Behavior:EC2/TrafficVolumeUnusual 异常大流量	VPC flow logs	该 EC2 实例以前从未向该远程主机发送过如此大的流量。
CryptoCurrency:EC2/BitcoinTool.B 疑似机器用于挖矿 - IP	VPC flow logs	EC2 实例正在查询一个与加密货币相关活动有关的 IP 地址。 如果您使用此 EC2 实例挖掘或管理加密货币，或者此实例以其他方式参与区块链活动，则此发现可能是您环境中的预期活动。可以通过添加抑制规则将此发现抑制。
CryptoCurrency:EC2/BitcoinTool.B!D NS 疑似机器用于挖矿 - DNS	DNS logs	EC2 实例正在查询一个与加密货币相关活动有关的域名。 如果您使用此 EC2 实例挖掘或管理加密货币，或者此实例以其他方式参与区块链活动，则此发现可能是您环境中的预期活动。可以通过添加抑制规则将此发现抑制。
DefenseEvasion:EC2/UnusualDNSResolver 与异常公共DNS解析器通信	VPC flow logs	Amazon EC2 实例正在与一个不寻常的公共 DNS 解析器通信。
DefenseEvasion:EC2/UnusualDoHActivity 与异常HTTPS DNS通信	VPC flow logs	Amazon EC2 实例正在执行异常的 HTTPS DNS（DoH）通信。
DefenseEvasion:EC2/UnusualDoTActivity 与异常DNS over TLS通信	VPC flow logs	Amazon EC2 实例正在执行异常的 DNS over TLS (DoT) 通信。
Impact:EC2/AbusedDomainRequest.Reputation 与低信誉域名通信	DNS logs	EC2 实例正在查询与已知滥用域名相关的低信誉域名。 威胁行为者往往利用这些服务免费或低价注册域名。这类低信誉域名也可能是解析到注册商停放 IP 地址的过期域名，因此可能不再活跃。停放 IP 是注册商为未链接到任何服务的域名引导流量的地址。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发，因此列出的 Amazon EC2 实例可能已被入侵。
Impact:EC2/BitcoinDomainRequest.Reputation 请求加密货币相关低信誉域名	DNS logs	EC2 实例正在查询一个与加密货币相关活动有关的低信誉域名。
Impact:EC2/MaliciousDomainRequest.Reputation 请求恶意域名	DNS logs	EC2 实例正在查询与已知恶意域相关的低信誉域名。
Impact:EC2/PortSweep 探测公开路由的端口	VPC flow logs	此发现会通知您 AWS 环境中列出的 EC2 实例正在探测大量公开可路由 IP 地址上的端口。这种类型的活动通常用于寻找易受攻击的主机进行利用。在 GuardDuty 控制台的发现详细信息面板中，只显示最新的远程 IP 地址。
Impact:EC2/SuspiciousDomainRequest.Reputation 请求年限较长的低信誉域名	DNS logs	EC2 实例正在查询一个信誉度低的域名，该域名因使用年限较长或知名度较低而性质可疑。
Impact:EC2/WinRMBruteForce 出站 Windows 远程管理暴力破解攻击	VPC flow logs	EC2 实例正在执行出站 Windows 远程管理暴力破解攻击，旨在访问基于 Windows 系统的 Windows 远程管理服务。
Recon:EC2/PortProbeEMRUnprotectedPort 探测未受保护的EMR端口	VPC flow logs	EC2 实例有一个未受保护的 EMR 相关端口，正在被已知恶意主机探测。
Recon:EC2/PortProbeUnprotectedPort 探测未受保护的端口	VPC flow logs	该发现会通知您，AWS 环境中列出的 EC2 实例上的某个端口未被安全组、访问控制列表 (ACL) 或 Linux IPTables 等主机上的防火墙阻止，并且互联网上的已知扫描程序正在主动探测该端口。
Recon:EC2/Portscan 出站端口扫描	VPC flow logs	EC2 实例正在向远程主机执行出站端口扫描。AWS 环境中列出的 EC2 实例可能正在遭受端口扫描攻击，因为它正在短时间内尝试连接多个端口。端口扫描攻击的目的是找到打开的端口，以发现机器正在运行的服务并识别其操作系统。
Trojan:EC2/BlackholeTraffic 与已知黑洞远程主机IP通信	VPC flow logs	EC2 实例正试图与已知黑洞的远程主机 IP 地址通信。你的 AWS 环境中列出的 EC2 实例可能受到了威胁，因为它正试图与一个黑洞（或沉洞）的 IP 地址通信。黑洞是网络中传入或传出流量被悄无声息地丢弃的地方，不会通知源数据没有到达预期的接收者。黑洞 IP 地址指的是未运行的主机或未分配主机的地址。
Trojan:EC2/BlackholeTraffic!DNS 与已知黑洞远程域名通信	DNS logs	EC2 实例正在查询一个被重定向到黑洞 IP 地址的域名。
Trojan:EC2/DGADomainRequest.B 与算法生成的域名通信	DNS logs	EC2 实例正在查询算法生成的域。此类域通常被恶意软件使用，可能是 EC2 实例受到攻击的迹象。 DGA 用于定期生成大量域名，这些域名可用作与其指挥和控制 (C&C) 服务器的会合点。指挥和控制服务器是向僵尸网络成员发布命令的计算机，僵尸网络是被一种常见恶意软件感染和控制的互联网连接设备的集合。大量潜在的会合点使得有效关闭僵尸网络变得非常困难，因为受感染的计算机每天都试图与其中一些域名联系，以接收更新或命令。
Trojan:EC2/DGADomainRequest.C!DNS 与算法生成的域名通信	DNS logs	EC2 实例正在查询算法生成的域。此类域通常被恶意软件使用，可能是 EC2 实例受到攻击的迹象。
Trojan:EC2/DNSDataExfiltration 正在通过 DNS 泄漏数据	DNS logs	EC2 实例正在通过 DNS 查询外泄数据。AWS 环境中列出的 EC2 实例正在运行使用 DNS 查询进行向外数据传输的恶意软件。这种类型的数据传输表明实例受到了攻击，并可能导致数据外泄。DNS 流量通常不会被防火墙阻止。例如，受攻击的 EC2 实例中的恶意软件可以将数据（如您的信用卡号）编码到 DNS 查询中，并将其发送到受攻击者控制的远程 DNS 服务器。
Trojan:EC2/DriveBySourceTraffic!DNS 与偷渡式下载攻击源通信	DNS logs	EC2 实例正在查询远程主机的域名，该主机是已知的偷渡式下载攻击源。偷渡式下载是指无意中将恶意代码下载到您的计算机或移动设备上，使您遭受网络攻击。您不必点击任何东西、按下下载键或打开恶意电子邮件附件，就会受到感染。
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom 与自定义威胁IP通信	VPC flow logs	EC2 实例正在与自定义威胁列表中的 IP 地址建立连接。 GuardDuty 根据上传的威胁列表生成调查结果。用于生成此发现的威胁列表将列在发现的详细信息中。
UnauthorizedAccess:EC2/MetadataDNSRebind 正在执行DNS lookups，解析实例的元数据服务。	DNS logs	EC2 实例正在执行DNS lookups，解析实例的元数据服务。 该发现会通知您，AWS 环境中的 EC2 实例正在查询解析至 EC2 元数据 IP 地址 (169.254.169.254) 的域。这种 DNS 查询可能表明该实例是 DNS 重绑定技术的目标。这种技术可用于获取 EC2 实例的元数据，包括与实例相关的 IAM 凭据。
UnauthorizedAccess:EC2/RDPBruteForce RDP暴力破解	VPC flow logs	EC2 实例涉及 RDP 暴力攻击。您的 AWS 环境中的一个 EC2 实例参与了旨在获取基于 Windows 系统的 RDP 服务密码的暴力破解攻击。这可能表明有人未经授权访问了您的 AWS 资源。
UnauthorizedAccess:EC2/SSHBruteForce SSH暴力破解	VPC flow logs	一个 EC2 实例涉及 SSH 暴力破解。您的 AWS 环境中的一个 EC2 实例参与了旨在获取基于 Linux 系统的 SSH 服务密码的暴力破解攻击。这可能表明有人未经授权访问了您的 AWS 资源。
UnauthorizedAccess:EC2/TorClient EC2 实例正在与 Tor Guard或 Authority 节点建立连接	VPC flow logs	该发现会通知您 AWS 环境中的 EC2 实例正在与 Tor Guard或 Authority 节点建立连接。Tor 是一种实现匿名通信的软件。Tor Guard和授权节点是进入 Tor 网络的初始网关。该流量可能表明该 EC2 实例已被入侵，并正在作为 Tor 网络的客户端运行。这一发现可能表明，有人未经授权访问了您的 AWS 资源，目的是隐藏攻击者的真实身份。
UnauthorizedAccess:EC2/TorRelay EC2 实例正在与 Tor 网络连接	VPC flow logs	这一发现通知您，您 AWS 环境中的一个 EC2 实例正在与 Tor 网络连接，其连接方式表明该实例正在充当 Tor 中继器。Tor 是一款用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继站转发到另一个中继站，从而提高了通信的匿名性。

如何修复被攻陷的Amazon EC2实例

1. 隔离被影响的EC2实例

提前准备一个用于隔离的安全组，仅允许指定IP段（运维或者安全管理员可以访问的IP段）访问，其他进出流量全部禁止。替换被影响的EC2实例的安全组。

1. 识别可疑行为的来源IP，拉黑

可以在网络防火墙以及web应用防火墙中添加IP黑名单，将可以行为来源IP设置为黑名单，防止继续攻击。

Remediating a compromised Amazon EC2 instance