Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty

Amazon GuardDuty genera los siguientes resultados de supervisión en tiempo de ejecución para indicar posibles amenazas basadas en el comportamiento a nivel del sistema operativo de los hosts y contenedores de Amazon EC2 en los clústeres de Amazon EKS, cargas de trabajo de Fargate y Amazon ECS e instancias de Amazon EC2.

CryptoCurrency:Runtime/BitcoinTool.B

Una instancia o un contenedor de Amazon EC2 está consultando una dirección IP asociada con una actividad relacionada con una criptomoneda.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se estaba ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está consultando una dirección IP que está asociada con una actividad relacionada con criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si utiliza esta instancia o un contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado CryptoCurrency:Runtime/BitcoinTool.B podría representar la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Backdoor:Runtime/C&CActivity.B

Una instancia o un contenedor de Amazon EC2 está consultando una IP que está asociada a un servidor de comando y control conocido.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 mostrados en el entorno de AWS consultan una dirección IP asociada a un servidor de comando y control (C&C) conocido. La instancia o el contenedor que aparecen en la lista podrían estar potencialmente afectados. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. En función de la finalidad y la estructura del botnet, el servidor de C&C también puede emitir comandos para comenzar un ataque de denegación de servicio distribuida (DDoS).

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/TorRelay

La instancia o contenedor de Amazon EC2 está estableciendo conexiones a una red de Tor como relé de Tor.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 de su entorno de AWS está estableciendo conexiones con una red de Tor de una forma que sugiere que actúa como un relé de Tor. Tor es un software que permite la comunicación anónima. Tor incrementa el anonimato en la comunicación, ya que reenvía el tráfico potencialmente ilícito del cliente de un relé de Tor a otro.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/TorClient

La instancia o el contenedor de Amazon EC2 está estableciendo conexiones con un nodo Authority o Guard de Tor.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 del entorno de AWS está estableciendo conexiones con un nodo Authority o Guard de Tor. Tor es un software que permite la comunicación anónima. Los nodos Guard y Authority de Tor actúan como puertas de enlace a una red de Tor. Este tráfico puede indicar que esta instancia o el contenedor de EC2 se han visto afectados y están actuando como clientes en una red de Tor. Este resultado puede significar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/BlackholeTraffic

Una instancia o un contenedor de Amazon EC2 intenta comunicarse con una dirección IP de un host remoto que es un agujero negro conocido.

Gravedad predeterminada: media

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectado, ya que está intentando comunicarse con una dirección IP de agujero negro (u oculta). Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado. Una dirección IP de agujero negro especifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignado ningún host.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DropPoint

Una instancia o un contenedor de Amazon EC2 está intentando comunicarse con una dirección IP de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 de su entorno de AWS está intentando comunicarse con una dirección IP de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio asociado con una actividad de criptomoneda.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está consultando un nombre de dominio que está asociado con actividades relacionadas con Bitcoin u otras criptomonedas. Los actores de las amenazas pueden intentar tomar el control de los recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si utiliza esta instancia o contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado CryptoCurrency:Runtime/BitcoinTool.B!DNS podría representar la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtrado. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:Runtime/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad de criptomonedas o cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Backdoor:Runtime/C&CActivity.B!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio que está asociado a un servidor de comando y control conocido.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio asociado con un servidor de comando y control (C&C) conocido. La instancia o el contenedor de EC2 de la lista podrían haberse visto afectados. Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet.

Un botnet es una colección de dispositivos conectados a Internet (que pueden incluir PC, servidores, dispositivos móviles y dispositivos de Internet de las cosas) que están infectados y controlados por un tipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar información obtenida de forma indebida, como números de tarjetas de crédito. En función de la finalidad y la estructura del botnet, el servidor de C&C también puede emitir comandos para comenzar un ataque de denegación de servicio distribuida (DDoS).

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/BlackholeTraffic!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio que se está redireccionando a una dirección IP de agujero negro.

Gravedad predeterminada: media

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectado, ya que está consultando un nombre de dominio que se está redireccionando a una dirección IP de agujero negro. Los agujeros negros hacen referencia a lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sin informar al origen de que los datos no llegaron a su destinatario esperado.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DropPoint!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de un host remoto que se conoce que conservar credenciales y otros datos robados capturados por malware.

Gravedad predeterminada: media

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 de su entorno de AWS está consultando un nombre de dominio de un host remoto que se sabe que conserva credenciales y otros datos robados capturados por malware.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DGADomainRequest.C!DNS

Una instancia o un contenedor de Amazon EC2 está consultando dominios generados mediante algoritmo. El malware suele utilizar dichos dominios y podría indicar que una instancia o un contenedor de EC2 se han visto afectados.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS está intentando consultar dominios de algoritmos de generación de dominios (DGA). Es posible que su recurso se haya visto afectado.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominio que se pueden usar como puntos de encuentro con sus servidores de comando y control (C&C). Los servidores de comando y control son equipos que envían comandos a los miembros de un botnet, que es una colección de dispositivos conectados a Internet que están infectados y son controlados por un tipo común de malware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, ya que los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cada día para recibir actualizaciones o comandos.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/DriveBySourceTraffic!DNS

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de un host remoto que es una fuente conocida de ataques de descarga Drive-By.

Gravedad predeterminada: alta

Este resultado le informa que un proceso que se está ejecutando en la instancia o el contenedor de EC2 que aparece en la lista del entorno de AWS podría haberse visto afectada, ya que está consultando un nombre de dominio de un host remoto que es un origen conocido de ataques de descargas Drive-By. Se trata de descargas no deseadas de software informático desde Internet que pueden iniciar la instalación automática de un virus, spyware o malware.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Trojan:Runtime/PhishingDomainRequest!DNS

Una instancia o un contenedor de Amazon EC2 está consultando dominios implicados en ataques de suplantación de identidad.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 en el entorno de AWS está intentando consultar un dominio implicado en ataques de suplantación de identidad. Los dominios de suplantación de identidad los configura alguien que se presenta como una institución legítima para inducir a las personas a proporcionar información confidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito, y contraseñas. Es posible que su instancia o contenedor de EC2 esté intentando recuperar datos confidenciales almacenados en un sitio web de suplantación de identidad o que esté intentando configurar un sitio web de este tipo. Su instancia o contenedor de EC2 podrían haberse visto afectados.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/AbusedDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a dominios que se sabe que se han utilizado indebidamente.

Gravedad predeterminada: media

Este resultado le informa de que un proceso que se está ejecutando en el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP de los que se sabe que se ha utilizado indebidamente. Algunos ejemplos de dominios utilizados indebidamente son los nombres de dominio de nivel superior (TLD) y los nombres de dominio de segundo nivel (2LD), que proporcionan registros de subdominios gratuitos, así como proveedores de DNS dinámicos. Los actores de amenazas suelen utilizar estos servicios para registrar dominios de forma gratuita o a un bajo costo. Los dominios de baja reputación de esta categoría también pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento de un registrador y, por lo tanto, es posible que ya no estén activos. Una IP de estacionamiento es el lugar al que un registrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La instancia o el contenedor de Amazon EC2 que aparece en la lista pueden haberse visto afectados, ya que los actores de amenazas suelen utilizar estos registradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/BitcoinDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a la actividad relacionada con la criptomoneda.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio que está asociado a actividades relacionadas con Bitcoin u otras criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si utiliza esta instancia o el contenedor de EC2 para extraer o administrar criptomonedas, o si cualquiera de estos está involucrado de otra manera en la actividad de cadena de bloques, el resultado podría representar la actividad esperada para su entorno. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de Impact:Runtime/BitcoinDomainRequest.Reputation. El segundo criterio de filtro debe ser el ID de instancia de la instancia o el ID de imagen de contenedor del contenedor implicado en una actividad relacionada con las criptomonedas o las cadenas de bloques. Para obtener más información, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/MaliciousDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que está asociado a dominios maliciosos conocidos.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación asociado a dominios o direcciones IP maliciosos conocidos. Por ejemplo, los dominios pueden estar asociados a una dirección IP conocida como oculta. Los dominios ocultos son aquellos que anteriormente estaban controlados por un agente de amenazas y las solicitudes que se les hagan pueden indicar que la instancia se ha visto afectada. Estos dominios también pueden estar correlacionados con campañas o algoritmos de generación de dominios maliciosos conocidos.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Una instancia o un contenedor de Amazon EC2 está consultando un nombre de dominio de baja reputación que resulta sospechoso por naturaleza debido a su antigüedad o a su baja popularidad.

Gravedad predeterminada: baja

Este resultado le informa de que un proceso que se está ejecutando en el contenedor o la instancia de EC2 que aparece en la lista dentro del entorno de AWS está consultando un nombre de dominio de baja reputación que se sospecha puede ser malicioso. Las características observadas de este dominio coincidían con las de los dominios maliciosos observados anteriormente. Sin embargo, nuestro modelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general, estos dominios se han detectado recientemente o reciben poco tráfico.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúa y clasifica las características de un dominio para determinar su probabilidad de ser malicioso.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Una instancia o un contenedor de Amazon EC2 hace búsquedas de DNS que se resuelven en el servicio de metadatos de instancia.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en una instancia o un contenedor de EC2 del entorno de AWS está consultando un dominio que se resuelve en la dirección IP de metadatos de EC2 (169.254.169.254). Una consulta de DNS de este tipo puede indicar que la instancia es el objetivo de una técnica de reenlace de DNS. Esta técnica se puede utilizar para obtener metadatos de una instancia de EC2, que incluye las credenciales de IAM asociadas a la instancia.

El reenlace de DNS implica engañar a una aplicación que se ejecuta en la instancia de EC2 para que cargue datos devueltos desde una URL, de tal forma que el nombre de dominio de la URL se resuelve en la dirección IP de metadatos de EC2 (169.254.169.254). Esto hace que la aplicación obtenga acceso a los metadatos de EC2 y, posiblemente, los ponga a disposición del atacante.

Solo se puede obtener acceso a los metadatos de EC2 mediante el reenlace de DNS si la instancia de EC2 ejecuta una aplicación vulnerable que permite la inserción de URL o si un usuario obtiene acceso a la URL en un navegador web que se ejecuta en la instancia de EC2.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

En respuesta a este resultado, es importante evaluar si hay alguna aplicación vulnerable que se esté ejecutando en la instancia o en el contenedor de EC2 o si un usuario ha utilizado un navegador para acceder al dominio identificado en el resultado. Si la causa raíz es una aplicación vulnerable, corrija la vulnerabilidad. Si un usuario ha navegado por el dominio identificado, bloquee el dominio o impida que los usuarios puedan acceder a él. Si determina que el resultado está relacionado con cualquiera de los casos anteriores, debe revocar la sesión asociada a la instancia de EC2.

Algunos clientes de AWS asignan deliberadamente la dirección IP de metadatos a un nombre de dominio en sus servidores DNS autorizados. Si este es el caso en su entorno de , le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. El primer criterio de filtro debe utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:Runtime/MetaDataDNSRebind. El segundo criterio de filtro debe ser el Dominio de la solicitud de DNS o el ID de imagen de contenedor del contenedor. El valor Dominio de la solicitud DNS debe coincidir con el dominio que ha asignado a la dirección IP de metadatos (169.254.169.254). Para obtener información sobre la creación de reglas de supresión, consulte Reglas de supresión.

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/NewBinaryExecuted

Se ha ejecutado un archivo binario recién creado o que se ha modificado recientemente en un contenedor.

Gravedad predeterminada: media

Este resultado informa de que se ha ejecutado un archivo binario recién creado o modificado en un contenedor. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. Este comportamiento indica que un actor malicioso que ha obtenido acceso al contenedor ha descargado y ejecutado malware u otro software como parte del comprometimiento potencial. Aunque este tipo de actividad podría ser un indicio de un comprometimiento, también se trata de un patrón de uso habitual. Por lo tanto, GuardDuty utiliza mecanismos para identificar instancias sospechosas de esta actividad y genera este tipo de resultado únicamente para instancias sospechosas.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. Para identificar el proceso de modificación y el nuevo binario, consulte los detalles del Proceso de modificación y los detalles del Proceso

Los detalles del proceso de modificación se incluyen en el campo service.runtimeDetails.context.modifyingProcess del JSON del resultado, o en Proceso de modificación en el panel de detalles del resultado. Para este tipo de resultado, el proceso de modificación es /usr/bin/dpkg, como se identifica en el campo service.runtimeDetails.context.modifyingProcess.executablePath del JSON del resultado, o como parte del Proceso de modificación en el panel de detalles del resultado.

Los detalles del binario nuevo o modificado ejecutado se incluyen en el service.runtimeDetails.process del JSON del resultado, o en la sección Proceso bajo Detalles de tiempo de ejecución. Para este tipo de resultado, el binario nuevo o modificado es /usr/bin/python3.8, como se indica en el campo service.runtimeDetails.process.executablePath (Ruta ejecutable).

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un proceso dentro de un contenedor se comunica con el daemon de Docker mediante un socket de Docker.

Gravedad predeterminada: media

El socket de Docker es un socket de dominio Unix que el daemon de Docker (dockerd) utiliza para comunicarse con sus clientes. Un cliente puede llevar a cabo diversas acciones, como crear contenedores al comunicarse con el daemon de Docker a través del socket de Docker. Es sospechoso que un proceso de contenedor acceda al socket de Docker. Un proceso de contenedor puede escapar del contenedor y obtener acceso de host al comunicarse con el socket de Docker y crear un contenedor privilegiado.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/RuncContainerEscape

Se detectó un intento de escape del contenedor a través de runC.

Gravedad predeterminada: alta

RunC es el tiempo de ejecución de contenedores de bajo nivel que los tiempos de ejecución de contenedores de alto nivel, como Docker y Containerd utilizan para generar y ejecutar contenedores. RunC siempre se ejecuta con privilegios de raíz porque necesita realizar la tarea de bajo nivel de crear un contenedor. Un actor que represente una amenaza puede obtener acceso a nivel de host ya sea al modificar o explotar una vulnerabilidad en el binario de runC.

Este resultado detecta la modificación del binario de runC y posibles intentos de explotar las siguientes vulnerabilidades de runC:

Este resultado puede indicar que un actor malicioso ha intentado realizar una explotación en uno de los siguientes tipos de contenedores:

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Se detectó un intento de escape de un contenedor a través del agente de liberación de CGroups.

Gravedad predeterminada: alta

Este resultado le informa de que se ha detectado un intento de modificar el archivo de agente de lanzamiento de un grupo de control (cgroup). Linux utiliza grupos de control (cgroups) para limitar, contabilizar y aislar el uso de recursos de un conjunto de procesos. Cada cgroup tiene un archivo de agente de lanzamiento (release_agent), un script que Linux ejecuta cuando termina cualquier proceso dentro del cgroup. El archivo de agente de lanzamiento debe ejecutarse siempre en el host. Un actor de amenazas dentro de un contenedor puede escapar al host mediante la escritura de comandos arbitrarios en el archivo de agente de lanzamiento que pertenece a un cgroup. Cuando termina un proceso dentro de ese cgroup, se ejecutan los comandos escritos por el actor.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.Proc

Se ha detectado una inyección de proceso mediante el sistema de archivos proc en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: alta

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. El sistema de archivos proc (procfs) es un sistema de archivos especial de Linux que presenta la memoria virtual del proceso como un archivo. La ruta de ese archivo es /proc/PID/mem, donde PID es el ID único del proceso. Un actor de amenazas puede escribir en este archivo para inyectar código en el proceso. Este resultado identifica los posibles intentos de escritura en este archivo.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Se ha detectado una inyección de proceso mediante una llamada al sistema ptrace en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: media

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar la llamada al sistema ptrace para inyectar código en otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema ptrace.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Se ha detectado una inyección de proceso mediante una escritura directa en la memoria virtual en un contenedor o en una instancia de Amazon EC2.

Gravedad predeterminada: alta

La inyección de procesos es una técnica que los actores de amenazas utilizan para inyectar código en los procesos a fin de evadir las defensas y, potencialmente, aumentar sus privilegios. Un proceso puede utilizar una llamada al sistema como process_vm_writev para inyectar código directamente en la memoria virtual de otro proceso. Este resultado identifica un posible intento de inyectar código en un proceso mediante la llamada al sistema para escribir en la memoria virtual del proceso.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/ReverseShell

Un proceso en un contenedor o en una instancia de Amazon EC2 ha creado un intérprete de comandos inverso.

Gravedad predeterminada: alta

Un intérprete de comandos inverso es una sesión de intérprete de comandos que se crea en una conexión que se ha iniciado del host de destino al host del actor. Esto es lo opuesto a un intérprete de comandos normal que se inicia desde el host del actor hasta el host de destino. Los actores de amenazas crean un intérprete de comandos inverso para ejecutar comandos en el objetivo tras obtener el acceso inicial a este. Este resultado identifica conexiones de intérprete de comandos inverso que son potencialmente sospechosas.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, y genera este tipo de resultado solo cuando la actividad y el contexto asociados se descubre que son inusuales o sospechosos. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

El agente de GuardDuty monitorea eventos de múltiples orígenes. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Si esta actividad es inesperada, es posible que su tipo de recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/FilelessExecution

Un proceso en un contenedor o en una instancia de Amazon EC2 ejecuta código desde la memoria.

Gravedad predeterminada: media

Este resultado le informa cuando se ejecuta un proceso mediante un archivo ejecutable en memoria en el disco. Se trata de una técnica de evasión de defensa habitual que impide escribir el ejecutable malicioso en el disco para evitar la detección basada en el análisis del sistema de archivos. Si bien el malware utiliza esta técnica, también tiene algunos casos de uso legítimos. Uno de los ejemplos es un compilador Just-in-time (JIT) que escribe código compilado en la memoria y lo ejecuta desde ahí.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Impact:Runtime/CryptoMinerExecuted

Una instancia o un contenedor de Amazon EC2 ejecuta un archivo binario asociado con una actividad de extracción de criptomonedas.

Gravedad predeterminada: alta

Este resultado le informa de que un proceso que se está ejecutando en la instancia o el contenedor de EC2 del entorno de AWS está ejecutando un archivo binario que está asociado con una actividad de extracción de criptomonedas. Los actores de las amenazas pueden intentar tomar el control de recursos de computación para reutilizarlos maliciosamente para la extracción no autorizada de criptomonedas.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente afectado, consulte el Tipo de recurso en el panel de resultados de la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty y consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/NewLibraryLoaded

Un proceso ha cargado una biblioteca recién creada o modificada recientemente dentro de un contenedor.

Gravedad predeterminada: media

Este resultado le informa de que se ha creado una biblioteca o que esta se ha modificado dentro de un contenedor durante el tiempo de ejecución y que un proceso que se ejecuta dentro del contenedor la ha cargado. Se recomienda mantener los contenedores inmutables durante el tiempo de ejecución y los archivos binarios, scripts o bibliotecas no deben crearse ni modificarse durante la vida útil del contenedor. La carga de una biblioteca recién creada o modificada en un contenedor puede indicar actividad sospechosa. Este comportamiento indica la posibilidad de que un actor malicioso haya accedido al contenedor, haya descargado y ejecutado malware u otro software como parte de una posible amenaza. Aunque este tipo de actividad podría ser un indicio de un comprometimiento, también se trata de un patrón de uso habitual. Por lo tanto, GuardDuty utiliza mecanismos para identificar instancias sospechosas de esta actividad y genera este tipo de resultado únicamente para instancias sospechosas.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un proceso dentro de un contenedor ha montado un sistema de archivos de host durante el tiempo de ejecución.

Gravedad predeterminada: media

Varias técnicas de escape de contenedores implican montar un sistema de archivos de host dentro de un contenedor durante el tiempo de ejecución. Este resultado indica que un proceso dentro de un contenedor podría intentar montar un sistema de archivos de host, lo que podría indicar un intento de escape al host.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un proceso ha utilizado llamadas al sistema userfaultfd para gestionar los errores de página en el espacio de usuario.

Gravedad predeterminada: media

Por lo general, los errores de página los gestiona el kernel en el espacio del kernel. Sin embargo, la llamada al sistema userfaultfd permite que un proceso gestione los errores de página en un sistema de archivos del espacio de usuario. Esta es una característica útil que permite la implementación de sistemas de archivos en el espacio de usuario. Por otro lado, también puede ser utilizada por un proceso potencialmente malicioso para interrumpir el funcionamiento del kernel desde el espacio de usuario. Interrumpir el kernel mediante una llamada al sistema userfaultfd es una técnica de explotación común para ampliar los intervalos de carrera cuando se explotan las condiciones de carrera del kernel. El uso de userfaultfd puede indicar una actividad sospechosa en la instancia de Amazon Elastic Compute Cloud (Amazon EC2).

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousTool

Un contenedor o una instancia de Amazon EC2 está ejecutando un archivo binario o un script que se utiliza con frecuencia en escenarios de seguridad ofensiva, como pruebas de penetración.

Gravedad predeterminada: variable

La gravedad de este resultado puede ser alta o baja, según si la herramienta sospechosa detectada se considera de doble uso o es de uso exclusivamente ofensivo.

Este resultado informa de que se ha ejecutado una herramienta sospechosa en una instancia de EC2 o en un contenedor del entorno de AWS. Esto incluye las herramientas utilizadas en las actividades de pruebas de penetración, también conocidas como herramientas de puerta trasera, analizadores de red y rastreadores de red. Todas estas herramientas se pueden utilizar en contextos benignos, pero también las utilizan con frecuencia los actores de amenazas con intenciones maliciosas. Si se observan herramientas de seguridad ofensivas, podría ser un indicio de que la instancia de EC2 o el contenedor asociados se han visto comprometidos.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, por lo que únicamente genera este resultado cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una instancia de Amazon EC2 o un contenedor que es indicativo de un comprometimiento.

Gravedad predeterminada: variable

Según el impacto del patrón malicioso observado, la gravedad de este tipo de resultado podría ser baja, media o alta.

Este resultado informa de que se ha ejecutado un comando sospechoso e indica que una instancia de Amazon EC2 o un contenedor del entorno de AWS se han visto comprometidos. Esto puede significar que se ha descargado un archivo de una fuente sospechosa y luego se ha ejecutado, o que un proceso en ejecución muestra un patrón malicioso conocido en su línea de comandos. Esto indica además la presencia de malware en ejecución en el sistema.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, por lo que únicamente genera este resultado cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/SuspiciousCommand

Se ha ejecutado un comando en la instancia de Amazon EC2 o en un contenedor de la lista, intenta modificar o desactivar un mecanismo de defensa de Linux, como el firewall o los servicios esenciales del sistema.

Gravedad predeterminada: variable

Según el mecanismo de defensa que se haya modificado o desactivado, la gravedad de este tipo de resultado puede ser alta, media o baja.

Este resultado informa de que se ha ejecutado un comando que intenta ocultar un ataque a los servicios de seguridad del sistema local. Esto incluye acciones como desactivar el firewall de Unix, modificar las tablas de IP locales, eliminar entradas crontab, desactivar un servicio local o asumir la función de LDPreload. Cualquier modificación es altamente sospechosa y un indicador potencial de comprometimiento. Por lo tanto, estos mecanismos detectan que el sistema está comprometido o impiden que se comprometa aún más.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, por lo que únicamente genera este resultado cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso potencialmente comprometido, consulte Tipo de recurso en los detalles de los resultados en la Consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un proceso en un contenedor o una instancia de Amazon EC2 ha ejecutado una medida antidepuración mediante la llamada al sistema ptrace.

Gravedad predeterminada: baja

Este resultado muestra que un proceso que se ejecuta en la instancia de Amazon EC2 que se encuentra en la lista o un contenedor dentro del entorno de AWS ha utilizado la llamada al sistema ptrace con la opción PTRACE_TRACEME. Esta actividad provocaría que un depurador asociado se separara del proceso en ejecución. Si no hay ningún depurador asociado, no se producirá ningún efecto. Sin embargo, la actividad en sí misma suscita sospechas. Esto podría ser indicio de la presencia de malware en ejecución en el sistema. El malware utiliza con frecuencia técnicas antidepuración para eludir los análisis, y estas técnicas se pueden detectar en tiempo de ejecución.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, por lo que únicamente genera este resultado cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/MaliciousFileExecuted

Se ha ejecutado un archivo ejecutable malicioso conocido en una instancia de Amazon EC2 o en un contenedor.

Gravedad predeterminada: alta

Este resultado informa de que se ha ejecutado un ejecutable malicioso conocido en una instancia de Amazon EC2 o en un contenedor del entorno de AWS. Se trata de un sólido indicio de que la instancia o el contenedor se han visto potencialmente comprometidos y de que se ha ejecutado malware.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, por lo que únicamente genera este resultado cuando la actividad y el contexto asociados son potencialmente sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Execution:Runtime/SuspiciousShellCreated

Un servicio de red o un proceso al que se puede acceder a través de la red en una instancia de Amazon EC2 o en un contenedor ha iniciado un proceso de intérprete de comandos interactivo.

Gravedad predeterminada: baja

Este resultado informa de que un servicio al que se puede acceder a través de la red en una instancia de Amazon EC2 o en un contenedor del entorno de AWS ha iniciado un intérprete de comandos interactivo. En determinadas circunstancias, este escenario podría ser indicio de un comportamiento posterior a la explotación. Los intérpretes de comandos interactivos permiten a los atacantes ejecutar comandos arbitrarios en una instancia o contenedor comprometidos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación. Puede ver la información del proceso al que se puede acceder a través de la red en los detalles del proceso principal.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/ElevationToRoot

Un proceso que se ejecuta en la instancia o contenedor de Amazon EC2 que aparece en la lista ha asumido privilegios de raíz.

Gravedad predeterminada: media

Este resultado informa de que un proceso que se ejecuta en el Amazon EC2 de la lista o en el contenedor de la lista dentro del entorno de setuid ha asumido privilegios de raíz a través de una ejecución binaria AWS inusual o sospechosa. Esto indica que un proceso en ejecución ha sido potencialmente comprometido, para la instancia de EC2 a través de un exploit, o a través de la explotación setuid. Al utilizar los privilegios de raíz, el atacante puede potencialmente ejecutar comandos en la instancia o el contenedor.

A pesar de que GuardDuty se diseñó para no generar este tipo de resultados en el caso de actividades que involucran el uso habitual del comando sudo, generará este resultado cuando identifique la actividad como inusual o sospechosa.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, y genera este tipo de resultado solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Discovery:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una instancia de Amazon EC2 o en un contenedor, lo que permite a un atacante obtener información sobre el sistema local, la infraestructura de AWS circundante o la infraestructura del contenedor.

Gravedad predeterminada: baja

Característica: supervisión en tiempo de ejecución

Este resultado informa de que un proceso que se está ejecutando en la instancia o contenedor de Amazon EC2 listados en el entorno de AWS han ejecutado un comando que podría proporcionar información crucial a un atacante para posibles avances en su cometido. Es posible que se haya recuperado la siguiente información:

Es posible que la instancia de Amazon EC2 o el contenedor que aparece en los detalles del resultado se hayan visto comprometidos.

El agente de tiempo de ejecución de GuardDuty supervisa eventos de múltiples tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte Tipo de recurso en los detalles de los resultados en la Consola de GuardDuty. Puede encontrar los detalles sobre el comando sospechoso en el campo service.runtimeDetails.context del JSON del resultado. El contexto adicional, incluida la información sobre el proceso y el linaje del proceso, está disponible en el resultado para una mayor investigación.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

Persistence:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una instancia de Amazon EC2 o en un contenedor, lo que permite a un atacante persistir en el acceso y el control en el entorno de AWS.

Gravedad predeterminada: media

Este resultado informa de que un proceso que se está ejecutando en una instancia de Amazon EC2 o en un contenedor del entorno de AWS ha ejecutado un comando sospechoso. El comando instala un método de persistencia que permite al malware ejecutarse ininterrumpidamente, o permite a un atacante acceder continuamente al tipo de recurso de instancia o contenedor potencialmente comprometido. Esto podría significar que se ha instalado o modificado un servicio del sistema, se ha modificado el crontab o se ha añadido un nuevo usuario a la configuración del sistema.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, y genera este tipo de resultado solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

Es posible que la instancia de Amazon EC2 o el contenedor que aparece en los detalles del resultado se hayan visto comprometidos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso potencialmente comprometido, consulte Tipo de recurso en los detalles de los resultados en la Consola de GuardDuty. Puede encontrar los detalles sobre el comando sospechoso en el campo service.runtimeDetails.context del JSON del resultado. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

PrivilegeEscalation:Runtime/SuspiciousCommand

Se ha ejecutado un comando sospechoso en una instancia de Amazon EC2 o en un contenedor, lo cual permite a un atacante escalar privilegios.

Gravedad predeterminada: media

Este resultado informa de que un proceso que se está ejecutando en una instancia de Amazon EC2 o en un contenedor del entorno de AWS ha ejecutado un comando sospechoso. El comando intenta realizar una escalada de privilegios, lo que permite a un adversario realizar tareas de alto privilegio.

GuardDuty examina la actividad en tiempo de ejecución y el contexto relacionados, y genera este tipo de resultado solo cuando la actividad y el contexto asociados son inusuales o sospechosos.

Es posible que la instancia de Amazon EC2 o el contenedor que aparece en los detalles del resultado se hayan visto comprometidos.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.

DefenseEvasion:Runtime/KernelModuleLoaded

Se cargó un módulo de núcleo en una instancia de Amazon EC2, lo que indica un intento de obtener acceso a nivel de núcleo.

Gravedad predeterminada: alta

Este resultado indica que se cargó un módulo del núcleo en la instancia de EC2 mostrada. Dado que los módulos del núcleo tienen los privilegios más altos por sistema (anillo 0), esto podría indicar que un agente de amenazas ha obtenido acceso del núcleo. Este nivel de acceso permite un control total del sistema.

El agente en tiempo de ejecución de GuardDuty supervisa eventos de múltiples recursos. Para identificar el recurso afectado, consulte Tipo de recurso en los detalles de los resultados en la consola de GuardDuty. Cuando proceda, hay contexto adicional, incluida la información sobre el proceso y el linaje del proceso, en los resultados para seguir investigando.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que el recurso se haya visto afectado. Para obtener más información, consulte Corregir los resultados de la Supervisión en tiempo de ejecución.