この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
GuardDutyのFinding Typeによっては、個別のテスト方法が用意されています。Backdoor:EC2/C&CActivity.B!DNSをテストしてみました。
Backdoor:EC2/C&CActivity.B!DNSとは?
Backdoor:EC2/C&CActivity.B!DNSは、EC2が既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしていることを示すFindingです。コマンドアンドコントロールサーバーとは、ボットネットや感染コンピュータに対し、不正なコマンドを送信するサーバーです。本Findingが発火した場合、EC2がマルウェアに侵害されている恐れがあります。
ユーザーガイドにあるように、本Findingにはテスト用のドメインが用意されています。
Note To test how GuardDuty's generates this finding type you can make a DNS request against a test domain guarddutyc2activityb.com.
EC2でテストドメインをクエリする
EC2でテストドメインに対して、DNSクエリを送信します。
# nslookup guarddutyc2activityb.com.
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
*** Can't find guarddutyc2activityb.com: No answer
#
しばらくすると、GuardDutyコンソールに「Backdoor:EC2/C&CActivity.B!DNS」が表示されました。
Findingの詳細を確認すると、TestDomainに対するクエリだとわかります。
さいごに
Backdoor:EC2/C&CActivity.B!DNSにテスト用のDNSドメインが用意されていることを紹介しました。EC2からテストドメインにクエリすることで、GuardDutyでイベントが発生することを確認しました。