GuardDutyのC&CActivity.B!DNSをテストする
GuardDutyのFinding Typeによっては、個別のテスト方法が用意されています。Backdoor:EC2/C&CActivity.B!DNSをテストしてみました。
GuardDutyのFinding Typeによっては、個別のテスト方法が用意されています。Backdoor:EC2/C&CActivity.B!DNSをテストしてみました。
Backdoor:EC2/C&CActivity.B!DNSとは?
Backdoor:EC2/C&CActivity.B!DNSは、EC2が既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしていることを示すFindingです。コマンドアンドコントロールサーバーとは、ボットネットや感染コンピュータに対し、不正なコマンドを送信するサーバーです。本Findingが発火した場合、EC2がマルウェアに侵害されている恐れがあります。
ユーザーガイドにあるように、本Findingにはテスト用のドメインが用意されています。
Note To test how GuardDuty's generates this finding type you can make a DNS request against a test domain guarddutyc2activityb.com.
EC2でテストドメインをクエリする
EC2でテストドメインに対して、DNSクエリを送信します。
# nslookup guarddutyc2activityb.com. Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: *** Can't find guarddutyc2activityb.com: No answer #
しばらくすると、GuardDutyコンソールに「Backdoor:EC2/C&CActivity.B!DNS」が表示されました。
Findingの詳細を確認すると、TestDomainに対するクエリだとわかります。
さいごに
Backdoor:EC2/C&CActivity.B!DNSにテスト用のDNSドメインが用意されていることを紹介しました。EC2からテストドメインにクエリすることで、GuardDutyでイベントが発生することを確認しました。
![[アップデート]Amazon GuardDuty S3マルウェア保護機能有効化時のIAMロール作成が非常に楽になりました!](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f1f1e80330aaa8917410e012de277155/263838c1009bccfef2d8a98f11615f2d/amazon-guardduty)
![[コスト大事] Amazon Athena で S3 の大量オブジェクトをクエリする場合はスキャン量だけでなくリクエスト量も意識しよう](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-764c44f07bcd41184fe62a432ae120ab/512a4cdcd05a0ed3ddea950fdf619fa0/amazon-athena)
