Amazon GuardDuty で Amazon EC2 インスタンスにおける Trojan:EC2 結果タイプのアラートを受信した理由は何ですか?
最終更新日: 2021 年 11 月 11 日
Amazon GuardDuty が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで Trojan:EC2 結果タイプのアラートを検出しました。
解決方法
GuardDuty が異常な Amazon EC2 アクティビティを検出すると、GuardDuty は Trojan のアラートを発報します。アラートが発報された理由を、このリスト内のリファレンスの中から探して確認します。その後、「侵害された EC2 インスタンスの修正」の手順に従います。
- 既知のブラックホールであるリモートホストの IP アドレスと通信しようとしている。
- マルウェアにキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストの IP アドレスと通信しようとしている。
- ブラックホール IP アドレスにリダイレクト中であるドメイン名をクエリしている。
- ドライブバイダウンロード攻撃のソースであることが知られているリモートホストのドメイン名をクエリしている。
- マルウェアにキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストのドメイン名をクエリしている。
- アルゴリズムによって生成されたドメインをクエリしている。
- DNS クエリによりデータを引き出している。
- フィッシング攻撃に関連するドメインをクエリしている。
詳細については、「GuardDuty EC2 結果タイプ」および「Amazon GuardDuty でデータソースを使用する方法」を参照してください。