EKS运行时监控

EKS Runtime Monitoring finding types

Finding type	检测内容
CryptoCurrency:Runtime/BitcoinTool.B	容器正在查询与加密货币相关活动有关的 IP 地址。威胁行为者可能试图控制计算资源，恶意将其重新用于未经授权的加密货币挖掘。
Backdoor:Runtime/C&CActivity.B	您 AWS 环境中的容器正在查询与已知命令和控制 (C&C) 服务器相关联的 IP。列出的容器可能已被入侵。命令和控制服务器是向僵尸网络成员发布命令的计算机。
UnauthorizedAccess:Runtime/TorRelay	您 AWS 环境中的某个容器正在以充当 Tor 中继站的方式与 Tor 网络建立连接。Tor 是一款用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继站转发到另一个，从而提高了通信的匿名性。
UnauthorizedAccess:Runtime/TorClient	您 AWS 环境中的某个容器正在与 Tor Guard 或 Authority 节点建立连接。Tor 是一种实现匿名通信的软件。Tor Guard和授权节点是 Tor 网络的初始网关。此流量可能表明此 EC2 实例或容器已受到潜在威胁，并在 Tor 网络中充当客户端。这一发现可能表明，有人未经授权访问了您的 AWS 资源，目的是隐藏攻击者的真实身份。
Trojan:Runtime/BlackholeTraffic	您的 AWS 环境中的容器可能会受到威胁，因为它正试图与黑洞的 IP 地址通信。黑洞是网络中传入或传出流量被悄无声息地丢弃的地方，不会通知源数据没有到达预期的接收者。
Trojan:Runtime/DropPoint	或容器正试图与远程主机的 IP 地址通信，而该主机已知持有恶意软件捕获的凭证和其他被盗数据。
CryptoCurrency:Runtime/BitcoinTool.B!DNS	容器正在查询与比特币或其他加密货币相关活动有关的域名。威胁行为者可能试图控制计算资源，以便恶意将其重新用于未经授权的加密货币挖掘。
Backdoor:Runtime/C&CActivity.B!DNS	容器正在查询与已知命令和控制 (C&C) 服务器相关的域名。列出的 EC2 实例或容器可能已被入侵。命令和控制服务器是向僵尸网络成员发布命令的计算机。
Trojan:Runtime/BlackholeTraffic!DNS	容器可能受到了威胁，因为它正在查询一个被重定向到黑洞 IP 地址的域名。黑洞是网络中传入或传出流量被悄无声息地丢弃的地方，不会通知源数据没有到达预期的接收者。
Trojan:Runtime/DropPoint!DNS	容器正在查询远程主机的域名，而该主机已知持有恶意软件捕获的凭证和其他被盗数据。
Trojan:Runtime/DGADomainRequest.C!DNS	容器正在尝试查询域生成算法 (DGA) 域。您的资源可能已受到威胁。 DGA 用于定期生成大量域名，这些域名可用作与其指挥和控制 (C&C) 服务器的会合点。指挥和控制服务器是向僵尸网络成员发布命令的计算机，僵尸网络是被一种常见恶意软件感染和控制的互联网连接设备的集合。大量潜在的会合点使得有效关闭僵尸网络变得非常困难，因为受感染的计算机每天都试图与其中一些域名联系，以接收更新或命令。
Trojan:Runtime/DriveBySourceTraffic!DNS	容器可能受到了威胁，因为它正在查询远程主机的域名，而远程主机是已知的 "偷渡式下载 "攻击源。这是从互联网上无意下载的计算机软件，可启动病毒、间谍软件或恶意软件的自动安装。
Trojan:Runtime/PhishingDomainRequest!DNS	容器正试图查询一个涉及网络钓鱼攻击的域。网络钓鱼域是由某人冒充合法机构建立的，目的是诱使个人提供敏感数据，如个人身份信息、银行和信用卡详细信息以及密码。您的 EC2 实例或容器可能正试图检索存储在钓鱼网站上的敏感数据，也可能正试图建立钓鱼网站。您的容器可能受到威胁。
Impact:Runtime/AbusedDomainRequest.Reputation	容器正在查询与已知滥用域名或 IP 地址相关的低信誉域名。滥用域名的例子包括提供免费子域注册的顶级域名 (TLD) 和二级域名 (2LD) 以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低价注册域名。这类低信誉域名也可能是解析到注册商停放 IP 地址的过期域名，因此可能不再活跃。停放 IP 是注册商为未链接到任何服务的域名引导流量的地址。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发，因此列出的 Amazon EC2 实例或容器可能会受到攻击。
Impact:Runtime/BitcoinDomainRequest.Reputation	Amazon EC2 实例或容器正在查询与加密货币相关活动有关的低信誉域名。
Impact:Runtime/MaliciousDomainRequest.Reputation	Amazon EC2 实例或容器正在查询与已知恶意域相关的低信誉域。
Impact:Runtime/SuspiciousDomainRequest.Reputation	亚马逊 EC2 实例或容器正在查询一个信誉度低的域名，该域名因使用时间长或知名度低而性质可疑。
UnauthorizedAccess:Runtime/MetadataDNSRebind	Amazon EC2 实例或容器正在执行解析到实例元数据服务的 DNS 查找。
Execution:Runtime/NewBinaryExecuted	已执行容器中新建或最近修改的二进制文件。
PrivilegeEscalation:Runtime/DockerSocketAccessed	容器内的进程正在使用 Docker 套接字与 Docker 守护进程通信。Docker 套接字是一种 Unix 域套接字，Docker 守护进程（dockerd）用它来与客户端通信。客户端可以执行各种操作，例如通过 Docker 套接字与 Docker 守护进程通信来创建容器。容器进程访问 Docker 套接字是可疑的。容器进程可以通过与 Docket 套接字通信并创建特权容器来逃离容器并获得主机级访问权限。
PrivilegeEscalation:Runtime/RuncContainerEscape	检测到有人试图获取容器的主机访问权限。
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified	在 Amazon EKS 集群中检测到容器通过 runC 逃离。
DefenseEvasion:Runtime/ProcessInjection.Proc	在容器或 Amazon EC2 实例中检测到使用 proc 文件系统的进程注入。
DefenseEvasion:Runtime/ProcessInjection.Ptrace	在容器或 Amazon EC2 实例中检测到使用 ptrace 系统调用的进程注入。
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite	在容器或 Amazon EC2 实例中检测到通过直接写入虚拟内存注入进程。
Execution:Runtime/ReverseShell	容器或 Amazon EC2 实例中的一个进程创建了一个反向 shell。
DefenseEvasion:Runtime/FilelessExecution	容器或 Amazon EC2 实例中的进程正在内存中执行代码。
Impact:Runtime/CryptoMinerExecuted	容器或亚马逊 EC2 实例正在执行与加密货币挖矿活动相关的二进制文件。
Execution:Runtime/NewLibraryLoaded	容器内的进程加载了新创建或最近修改的库。
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory	容器内的进程在运行时挂载主机文件系统。
PrivilegeEscalation:Runtime/UserfaultfdUsage	一个进程使用 userfaultfd 系统调用来处理用户空间的页面故障。页面故障通常由内核在内核空间处理。然而，userfaultfd 系统调用允许进程在用户空间处理文件系统的页面故障。这是一个非常有用的功能，可以实现用户空间文件系统。另一方面，潜在的恶意进程也可以利用它从用户空间中断内核。使用 userfaultfd 系统调用中断内核是一种常见的利用技术，可在利用内核竞赛条件时扩展竞赛窗口。使用 userfaultfd 可能表明亚马逊弹性计算云（Amazon EC2）实例上存在可疑活动。