Amazon GuardDuty で Amazon EC2 インスタンスにおける Trojan:EC2 結果タイプのアラートを受信した理由は何ですか?

Amazon EC2 で異常なアクティビティが検出されると、GuardDuty は Trojan のアラートを発報します。アラートが発報された理由を、このリスト内のリファレンスの中から探して確認します。その後、「侵害された EC2 インスタンスの修正」の手順に従います。

• 既知のブラックホールであるリモートホストの IP アドレスと通信しようとしている。
• マルウェアにキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストの IP アドレスと通信しようとしている。
• ブラックホール IP アドレスにリダイレクト中であるドメイン名をクエリしている。
• ドライブバイダウンロード攻撃のソースであることが知られているリモートホストのドメイン名をクエリしている。
• マルウェアにキャプチャされた認証情報やその他の盗難されたデータを保持することが知られているリモートホストのドメイン名をクエリしている。
• アルゴリズムによって生成されたドメインをクエリしている。
• DNS クエリによりデータを引き出している。
• フィッシング攻撃に関連するドメインをクエリしている。

詳細については、「Trojan 結果タイプ」および「Amazon GuardDuty でデータソースを使用する方法」を参照してください。