GuardDutyのC&CActivity.B!DNSをテストする

GuardDutyのFinding Typeによっては、個別のテスト方法が用意されています。Backdoor:EC2/C&CActivity.B!DNSをテストしてみました。

Backdoor:EC2/C&CActivity.B!DNSとは？

Backdoor:EC2/C&CActivity.B!DNSは、EC2が既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしていることを示すFindingです。コマンドアンドコントロールサーバーとは、ボットネットや感染コンピュータに対し、不正なコマンドを送信するサーバーです。本Findingが発火した場合、EC2がマルウェアに侵害されている恐れがあります。

ユーザーガイドにあるように、本Findingにはテスト用のドメインが用意されています。

Note To test how GuardDuty's generates this finding type you can make a DNS request against a test domain guarddutyc2activityb.com.

EC2でテストドメインをクエリする

EC2でテストドメインに対して、DNSクエリを送信します。

# nslookup guarddutyc2activityb.com.
Server:     127.0.0.53
Address:    127.0.0.53#53

Non-authoritative answer:
*** Can't find guarddutyc2activityb.com: No answer

#

しばらくすると、GuardDutyコンソールに「Backdoor:EC2/C&CActivity.B!DNS」が表示されました。

Findingの詳細を確認すると、TestDomainに対するクエリだとわかります。

さいごに

Backdoor:EC2/C&CActivity.B!DNSにテスト用のDNSドメインが用意されていることを紹介しました。EC2からテストドメインにクエリすることで、GuardDutyでイベントが発生することを確認しました。

参考

• Backdoor:EC2/C&CActivity.B!DNS