Security Center：Ikhtisar peringatan keamanan CWPP (Cloud Workload)

Tingkat risiko

Deskripsi

Tindakan yang disarankan

Mendesak

• Perilaku tersebut sangat mirip dengan perilaku penyerang yang diketahui dan dapat menyebabkan dampak destruktif atau persisten pada aset, seperti reverse shell.

• Tingkat ini menunjukkan bahwa aset kemungkinan besar sedang diserang.

Segera tanggapi. Tindakan yang disarankan: karantina aset, blokir koneksi jaringan mencurigakan, dan pertahankan adegan serangan.

Mencurigakan

• Perilaku tersebut memiliki potensi risiko tetapi mungkin mirip dengan beberapa operasi O&M, seperti "penambahan pengguna mencurigakan".

• Perilaku tersebut merupakan langkah non-kritis dalam jalur serangan, seperti "menghapus jejak serangan".

• Tingkat ini menunjukkan probabilitas tertentu bahwa aset sedang diserang.

Memerlukan analisis. Periksa apakah ini merupakan operasi O&M yang direncanakan. Jika ya, tambahkan perilaku tersebut ke daftar putih. Jika tidak, tangani sebagai peringatan mendesak.

Pengingat

Perilaku peringatan tersebut merupakan langkah non-esensial dalam jalur serangan dan mirip dengan perilaku O&M normal, seperti "perilaku mendengarkan port mencurigakan".

Audit dan optimalkan. Gunakan ini untuk menemukan konfigurasi yang tidak sesuai atau potensi risiko. Tinjau dan optimalkan kebijakan keamanan secara berkala. Tindakan segera tidak diperlukan.

Nama peringatan

Deskripsi

DDoS Trojan

Model deteksi menemukan Trojan DDoS yang berjalan di server Anda. Trojan DDoS adalah program berbahaya yang menerima instruksi dari host yang dikompromikan untuk meluncurkan serangan DDoS terhadap target yang ditentukan penyerang.

Ransomware

Model deteksi menemukan ransomware yang berjalan di server Anda. Ransomware adalah program berbahaya yang mengenkripsi semua file data kritis di host untuk meminta tebusan.

Program backdoor

Model deteksi menemukan program backdoor yang berjalan di server Anda. Program backdoor adalah program persisten yang ditanamkan di sistem untuk memungkinkan penyerang mempertahankan akses berkelanjutan ke host.

Program berbahaya

Pemindaian cloud mendeteksi program berbahaya.

Virus menular

Model deteksi menemukan virus menular yang berjalan di server Anda. Virus menular adalah program berbahaya tingkat lanjut yang menyuntikkan kode berbahaya ke file program normal, sehingga banyak program normal menjadi terinfeksi dan terdeteksi sebagai berbahaya.

Program penambangan

Model deteksi menemukan program penambangan yang berjalan di server Anda. Program penambangan merebut sumber daya komputasi host untuk menambang mata uang virtual, yang sering mengakibatkan penggunaan CPU tinggi dan keberadaan program berbahaya terkait lainnya di host.

Program Trojan

Model deteksi menemukan program Trojan di server Anda. Program Trojan dirancang khusus untuk menyusup ke host pengguna, biasanya dengan menyamar agar dapat ditanamkan ke sistem dan kemudian mengunduh serta menjalankan program berbahaya lainnya.

Cacing

Model deteksi menemukan cacing yang berjalan di server Anda. Cacing adalah program yang digunakan untuk serangan pergerakan lateral dari host yang dikompromikan ke host lain, sering kali melalui eksploitasi kerentanan atau pemecahan kata sandi.

Program mencurigakan

Model deteksi menemukan program mencurigakan yang berjalan di server Anda. Program mencurigakan memiliki karakteristik kode berbahaya atau menunjukkan perilaku sangat mencurigakan tetapi belum diklasifikasikan secara jelas. Anda harus mengevaluasi program tersebut berdasarkan informasi yang diberikan.

Trojan yang bermutasi sendiri

Model deteksi menemukan Trojan yang bermutasi sendiri yang berjalan di server Anda. Trojan yang bermutasi sendiri adalah program Trojan dengan kemampuan mutasi yang mengubah hash-nya sendiri atau menyalin dirinya ke berbagai path berbeda dan berjalan di latar belakang untuk menghindari deteksi dan pembersihan.

Pemblokiran IP berbahaya

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Pemblokiran permintaan DNS berbahaya

Keamanan Alibaba Cloud mendeteksi bahwa instans ECS Anda berkomunikasi dengan nama domain berbahaya, yang mungkin menunjukkan bahwa penyerang telah mengompromikan server Anda. Precise Defense berhasil memblokir permintaan jaringan ini untuk mencegah kerusakan pada server.

Pemblokiran perilaku proses

Perintah berisiko tinggi terdeteksi, yang mungkin merupakan tindakan berbahaya oleh penyerang di server yang dikompromikan. Fitur Precise Defense Pusat Keamanan berhasil memblokir perintah berbahaya ini untuk mencegah kerusakan pada server.

Gangguan berbahaya pada proses klien

Perilaku modifikasi proses mencurigakan yang mengganggu operasi normal klien terdeteksi. Tindakan ini secara proaktif diblokir untuk mencegah gangguan terhadap deteksi ancaman real-time. Penyerang sering mengganggu langkah-langkah keamanan untuk mengompromikan host. Perhatikan baik-baik peringatan ini dan periksa adanya peringatan keamanan lain, kerentanan berisiko tinggi, atau risiko kata sandi lemah di server. Jika Anda memulai tindakan ini, Anda dapat mengabaikan peringatan ini.

Gangguan berbahaya pada file klien

Perilaku modifikasi file mencurigakan yang mengganggu operasi normal klien terdeteksi. Tindakan ini secara proaktif diblokir untuk mencegah gangguan terhadap deteksi ancaman real-time. Penyerang sering mengganggu langkah-langkah keamanan untuk mengompromikan host. Perhatikan baik-baik peringatan ini dan periksa adanya peringatan keamanan lain, kerentanan berisiko tinggi, atau risiko kata sandi lemah di server. Jika Anda memulai tindakan ini, Anda dapat mengabaikan peringatan ini.

Program eksploitasi

Model deteksi menemukan program eksploitasi yang berjalan di server Anda. Program eksploitasi digunakan untuk menyerang kerentanan yang diketahui dalam sistem operasi atau aplikasi guna mencapai tujuan seperti peningkatan hak istimewa, escape kontainer, atau eksekusi kode arbitrer.

Umpan tangkap untuk perlindungan ransomware

File umpan yang telah ditentukan digunakan untuk mendeteksi atau memblokir proses ransomware mencurigakan di sistem.

Pemblokiran koneksi webshell berbahaya

Koneksi webshell berbahaya diblokir.

Alat peretas

Model deteksi menemukan alat peretas di server Anda. Alat peretas digunakan oleh penyerang selama penyusupan untuk peningkatan hak istimewa, pencurian data sensitif, atau uninstallasi perangkat lunak keamanan, serta dapat ditanamkan sebagai program backdoor setelah penyusupan.

Pemblokiran sesi login akun backdoor Windows

Upaya penyerang untuk login ke mesin ini dengan akun backdoor terdeteksi. Pusat Keamanan memblokir upaya login ini.

Pemblokiran startup proses (kustom)

Pusat Keamanan memungkinkan Anda menambahkan hash MD5 file proses. Pertahanan proaktif menggunakan hash MD5 untuk memblokir proses saat startup.

Komunikasi webshell AntSword

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Komunikasi webshell Cknife

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Rootkit

Model deteksi menemukan rootkit di server Anda. Rootkit adalah modul berbahaya yang ditanamkan di inti sistem untuk menyembunyikan jejaknya sendiri atau jejak program berbahaya lainnya.

Komunikasi webshell XISE

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Reverse shell

Reverse shell adalah metode yang digunakan penyerang untuk mengendalikan server korban. Peringatan ini dipicu oleh reverse shell yang diimplementasikan oleh proses seperti bash, python, perl, lua, php, dan telnet.

Eksekusi tidak sah perintah berisiko tinggi

Penyerang meningkatkan hak istimewa mereka di server korban dengan mengeksploitasi kerentanan atau kesalahan konfigurasi, seperti kerentanan Dirty COW atau eskalasi hak istimewa sudo.

Eksekusi perintah webshell

Penyerang menggunakan alat manajemen webshell, seperti Cknife, AntSword, Behinder, atau Godzilla, untuk berkomunikasi dengan webshell di server korban dan mengeksekusi perintah arbitrer.

Menangkal perangkat lunak keamanan

Penyerang mencoba menonaktifkan perangkat lunak keamanan atau menghapus konfigurasi keamanan, seperti menghentikan program Server Guard atau menonaktifkan firewall.

Implantasi file mencurigakan

Penyerang mengeksploitasi kerentanan atau menggunakan kata sandi lemah untuk login dan menulis file mencurigakan menggunakan perintah seperti wget, curl, tar, dan powershell.

Implantasi file berbahaya

Penyerang mengeksploitasi kerentanan atau menggunakan kata sandi lemah untuk login dan menulis file berbahaya menggunakan perintah seperti wget, curl, tar, dan powershell.

Perilaku skrip cacing mencurigakan

Penyerang mengeksploitasi kerentanan atau menggunakan kata sandi lemah untuk login dan menanamkan skrip cacing mencurigakan. Peringatan ini dipicu oleh skrip seperti bash, python, perl, dan powershell.

Mengunduh dan menjalankan file berbahaya dari command line

Penyerang mengeksploitasi kerentanan atau menggunakan kata sandi lemah untuk login, mengeksekusi perintah jarak jauh, dan mengunduh serta menanamkan file berbahaya. Peringatan ini dipicu oleh perintah unduh seperti wget, curl, python, dan powershell.

Operasi berisiko tinggi oleh layanan web

Penyerang mengeksploitasi kerentanan web, seperti kerentanan Confluence atau Exiftool, untuk mengeksekusi perintah arbitrer.

Pengumpulan informasi

Program layanan mengeksekusi perintah host, seperti whoami, netstat, dan id, untuk mengumpulkan informasi host dan menentukan apakah eksekusi perintah jarak jauh berhasil.

Perlindungan lanjutan Cloud Assistant

Token Cloud Assistant mungkin bocor atau dicuri. Perlindungan ini melarang Cloud Assistant mengeksekusi perintah arbitrer.

Koneksi jaringan mencurigakan

Penyerang menjalankan program berbahaya atau menggunakan program sistem untuk terhubung ke jaringan, menerima instruksi dari ujung kendali, dan mengendalikan server korban. Perilaku ini terkait dengan serangan DDoS, program penambangan, reverse shell, dan lainnya.

Perintah terobfuscasi

Penyerang mengenkripsi, mengkodekan, atau memanipulasi perintah host dengan cara lain untuk menghindari perlindungan antivirus, seperti menggunakan metode pengkodean base64.

Eksekusi perintah berisiko tinggi oleh PowerShell

Penyerang menggunakan komponen PowerShell sistem untuk mengeksekusi perintah berbahaya, seperti mengunduh atau mengeksekusi muatan.

Eksekusi perintah mencurigakan oleh PowerShell

Penyerang menggunakan komponen PowerShell sistem untuk mengeksekusi perintah berbahaya, seperti mengunduh atau mengeksekusi muatan.

Operasi berisiko tinggi oleh layanan browser

Penyerang menggunakan layanan entri untuk melakukan operasi berbahaya, termasuk mengunduh atau mengeksekusi muatan jarak jauh menggunakan komponen sistem tepercaya.

Operasi mencurigakan oleh layanan entri

Penyerang menggunakan layanan entri untuk melakukan operasi berbahaya, termasuk mengunduh atau mengeksekusi muatan jarak jauh menggunakan komponen sistem tepercaya.

Operasi berisiko tinggi oleh proses sistem

Penyerang menggunakan layanan entri untuk melakukan operasi berbahaya, termasuk mengunduh atau mengeksekusi muatan jarak jauh menggunakan komponen sistem tepercaya.

Operasi berisiko tinggi oleh layanan Java

Penyerang menggunakan layanan entri untuk melakukan operasi berbahaya, termasuk mengunduh atau mengeksekusi muatan jarak jauh menggunakan komponen sistem tepercaya.

Operasi berisiko tinggi oleh komponen Office

Penyerang menggunakan layanan entri untuk melakukan operasi berbahaya, termasuk mengunduh atau mengeksekusi muatan jarak jauh menggunakan komponen sistem tepercaya.

Memuat driver berisiko tinggi

Virus, Trojan, atau alat peretas menghindari perlindungan antivirus dengan memuat modul driver.

Perilaku manipulasi akun berisiko tinggi

Penyerang melakukan operasi akun tidak sah untuk mencapai persistensi.

Eksekusi perintah berbahaya

Penyerang memanggil alat sistem untuk mengeksekusi perintah atau skrip yang melakukan berbagai perilaku berbahaya.

Startup proses mencurigakan

Dugaan virus atau Trojan memulai proses.

Perilaku penghapusan backup sistem

Ransomware terdeteksi menghapus backup sistem untuk mencegah pemulihan data.

Pemindaian jaringan internal

Penyerang memperluas cakupan penyusupan dengan memindai kelemahan pada aset jaringan internal atau mencoba login dengan kata sandi yang sama, termasuk serangan brute-force, penyemprotan kata sandi, dan pemindaian kerentanan web.

Membuat item auto-start layanan

Virus membuat item startup persisten menggunakan registri, tugas terjadwal, atau layanan.

Membuat item auto-start berisiko tinggi

Virus membuat item startup persisten menggunakan registri, tugas terjadwal, atau layanan.

Membuat item auto-start tugas terjadwal

Virus membuat item startup persisten menggunakan registri, tugas terjadwal, atau layanan.

Membuat item auto-start registri

Virus membuat item startup persisten menggunakan registri, tugas terjadwal, atau layanan.

Membuat item auto-start WMI

Virus membuat item startup persisten menggunakan registri, tugas terjadwal, atau layanan.

Menghapus jejak penyusupan

Penyerang mencoba menghancurkan jejak penyusupan dengan menghapus log sistem, catatan eksekusi perintah, atau data lainnya.

Perilaku pencurian kredensial berisiko tinggi

Penyerang mencoba mencuri kredensial login menggunakan alat pencurian kredensial seperti Mimikatz.

Serangan HashDump

Penyerang menggunakan alat dump memori seperti Procdump untuk mencoba mengakses proses Local Security Authority (LSA) dan mendapatkan data kredensial.

Pembajakan pustaka tautan dinamis

Pusat Keamanan menemukan bahwa program sistem memuat file pustaka tautan dinamis mencurigakan atau telah menanamkan file pustaka tautan dinamis berbahaya, yang diduga sebagai upaya penyerang untuk membajak fungsi sistem. Pusat Keamanan telah berhasil memblokir perilaku ini. Jika Anda yakin pemblokiran ini adalah positif palsu, Anda dapat menonaktifkan aturan "Hijack dynamic-link library" di halaman Proactive Defense - Malicious Behavior Defense atau menghapus mesin yang terpengaruh dari host yang dikelola.

Komunikasi webshell Cknife

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Komunikasi webshell Behinder

Penyerang menggunakan alat manajemen webshell, seperti Cknife, AntSword, Behinder, atau Godzilla, untuk berkomunikasi dengan webshell di server korban dan mengeksekusi perintah arbitrer.

Komunikasi webshell Godzilla

Penyerang menggunakan alat manajemen webshell, seperti Cknife, AntSword, Behinder, atau Godzilla, untuk berkomunikasi dengan webshell di server korban dan mengeksekusi perintah arbitrer.

Perlindungan kunci registri sensitif

Perlindungan untuk kunci registri sensitif, termasuk pertahanan untuk item startup persisten, item konfigurasi kebijakan grup, item konfigurasi keamanan sistem, dan pembajakan opsi eksekusi file gambar.

Perlindungan injeksi proses

Penyerang menyuntikkan kode berbahaya ke proses normal untuk menghindari deteksi dan pertahanan, seperti injeksi ptrace.

Alat proxy

Model deteksi menemukan alat proxy di host. Alat proxy digunakan oleh penyerang untuk operasi seperti proxy dan tunneling, sering dalam skenario penyusupan server lebih lanjut.

Pengumpulan informasi layanan Cloud Assistant

Layanan Cloud Assistant mengeksekusi perintah host, seperti whoami, netstat, dan id, untuk mengumpulkan informasi host dan menentukan apakah eksekusi perintah jarak jauh berhasil.

Perlindungan layanan otoritas keamanan LSA

Local Security Authority Subsystem Service (LSASS) adalah proses yang bertanggung jawab atas kebijakan keamanan sistem operasi. Penyerang dapat melakukan tindakan berbahaya dengan membaca atau menulis memori proses LSASS. Aturan perlindungan ini melarang proses apa pun membuka proses LSASS dengan izin VM_READ atau VM_WRITE. Catatan: Kemampuan perlindungan ini adalah fitur penguatan keamanan yang memblokir secara default dan tidak menghasilkan peringatan. Jika bisnis Anda memerlukan pembacaan atau penulisan memori proses LSASS, Anda dapat menonaktifkan aturan perlindungan ini.

Layanan entri menanamkan skrip atau file biner mencurigakan

Database, web, atau layanan lain terdeteksi menanamkan skrip atau file biner mencurigakan.

Layanan entri mengeksekusi urutan perilaku mencurigakan

Penyerang menggunakan layanan entri untuk melakukan serangkaian operasi berbahaya, seperti mengeksekusi perintah unduh, membaca dan menulis file, serta mengumpulkan informasi, semuanya di bawah proses induk yang sama.

Pemblokiran komunikasi webshell adaptif

Model deteksi menemukan lalu lintas komunikasi webshell berbahaya di server Anda. Penyerang dapat menggunakan metode ini untuk kendali jarak jauh server. Precise Defense berhasil memblokir permintaan jaringan ini untuk mencegah kerusakan pada server.

Upload webshell

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Pemindai

Model deteksi menemukan pemindai di host. Pemindai sering digunakan oleh penyerang untuk menemukan host aktif, port terbuka, dan host dengan risiko keamanan seperti kerentanan dan kata sandi lemah, guna memfasilitasi penyusupan lebih lanjut.

Pemblokiran kerentanan RCE Java umum

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Pertahanan serangan web adaptif

Pusat Keamanan menggunakan mesin analisis cerdas berbasis cloud untuk secara otomatis mengidentifikasi dan memblokir berbagai lalu lintas serangan eksekusi perintah jarak jauh (RCE) web guna mencegah permintaan berbahaya merusak server Anda. Jika Anda yakin pemblokiran ini adalah positif palsu, Anda dapat menonaktifkan aturan yang sesuai di halaman Proactive Defense - Malicious Behavior Defense atau menghapus mesin yang terpengaruh dari host yang dikelola.

Trojan downloader

Model deteksi menemukan Trojan downloader di server Anda. Trojan downloader biasanya mengunduh dan menjalankan program pihak ketiga seperti Trojan berbahaya dan adware.

Uji tautan pertahanan host

Peringatan ini digunakan untuk menguji efektivitas tautan pertahanan host.

Pengumpulan informasi layanan database

Program layanan database mengeksekusi perintah host, seperti whoami, netstat, dan id, untuk mengumpulkan informasi host dan menentukan apakah eksekusi perintah jarak jauh berhasil.

Perlindungan proses Keamanan Alibaba Cloud

Perlindungan akses abnormal untuk proses Keamanan Alibaba Cloud.

Pertahanan file webshell

Pusat Keamanan menemukan webshell di server Anda, dan penyerang mencoba menggunakannya. Modul pertahanan mengidentifikasi dan mempertahankan secara presisi terhadap perilaku ini. Meskipun modul pertahanan berhasil memblokir tindakan tersebut, jika Anda mengonfirmasi bahwa file ini adalah backdoor, segera karantina atau hapus secara manual. Untuk menambahkan file ini ke daftar putih, buka Pengaturan Mitigasi > Perlindungan Host > Manajemen Aturan Host > Aturan Pertahanan Kustom dan buat aturan daftar putih untuk path file ini. Untuk menonaktifkan fitur pertahanan file webshell, buka Pengaturan Mitigasi > Perlindungan Host > Manajemen Aturan Host > Aturan Pertahanan Sistem > Pertahanan File Webshell dan matikan sakelar.

Serangan brute-force SQL Server

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Upload webshell PHP

Penyerang menggunakan fitur unggah file untuk mengunggah webshell PHP. Pusat Keamanan memblokir unggahan file dengan ekstensi .php dan .phtml.

Upload webshell JSP

Penyerang menggunakan fitur unggah file untuk mengunggah webshell JSP. Pusat Keamanan memblokir unggahan file dengan ekstensi .jsp.

Upload webshell ASP

Penyerang menggunakan fitur unggah file untuk mengunggah webshell ASP. Pusat Keamanan memblokir unggahan file dengan ekstensi .asp, .ashx, .asa, .asmx, dan .cshtml.

Upload webshell dengan ekstensi khusus

Penyerang menggunakan fitur unggah file untuk mengunggah webshell dengan ekstensi khusus. Pusat Keamanan memblokir unggahan file dengan ekstensi .cer dan .ascx.

Perilaku akun sistem operasi

Aturan ini memblokir perilaku akun sistem operasi di inti sistem. Secara default dinonaktifkan. Anda dapat mengevaluasi dan mengaktifkannya sesuai kebutuhan.

Pertahanan cerdas upload webshell

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Upload file mencurigakan melalui antarmuka

Penyerang menggunakan antarmuka tertentu untuk mengunggah webshell mencurigakan. Pusat Keamanan memblokir fitur unggahan antarmuka ini.

Alat pencuri informasi

Model deteksi menemukan alat pencuri informasi di host. Alat pencuri informasi sering digunakan untuk mencuri berbagai file dan informasi sensitif dari host.

Perlindungan akses proses persisten sistem

Proses dan layanan persisten sistem membawa fungsi inti sistem. Penyerang sering mengakses proses sistem dengan izin berisiko tinggi untuk melakukan tindakan berbahaya. Aturan perlindungan ini melarang proses apa pun mengakses proses persisten sistem dengan izin berisiko tinggi, termasuk pembuatan thread, penyalinan handle, dan operasi memori. Catatan: Kemampuan perlindungan ini adalah fitur penguatan keamanan yang memblokir secara default dan tidak menghasilkan peringatan. Jika bisnis Anda memerlukan akses ke proses persisten sistem, Anda dapat menonaktifkan aturan perlindungan ini.

Serangan brute-force RDP

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Serangan brute-force SSH

Precise Defense mendeteksi upaya serangan dan berhasil memblokir permintaan jaringan untuk mencegah kerusakan pada server. Peringatan ini tidak berarti server telah dikompromikan.

Driver berbahaya

Penyerang menginstal rootkit dengan menginstal atau mengompilasi kode berbahaya, memuat file driver .ko atau .sys, atau menggunakan metode lain.

Ransomware

File mencurigakan ditemukan di disk sistem Anda. Kami menyarankan Anda mengonfirmasi legalitas file sebelum menanganinya.

Startup proses tidak tepercaya

Startup proses yang tidak ada di daftar putih diblokir.

Startup anomali rantai proses tidak tepercaya

Startup anomali proses dalam rantai proses tidak tepercaya diblokir.

Operasi jaringan berisiko tinggi oleh proses tidak tepercaya

Proses yang tidak ada di daftar putih diblokir karena mengakses anomali alamat IP jaringan publik atau internal.

Operasi file berisiko tinggi oleh proses tidak tepercaya

Operasi berisiko tinggi oleh proses yang tidak ada di daftar putih diblokir, seperti modifikasi anomali dokumen Office atau file konfigurasi sistem kritis.

Pemblokiran permintaan jaringan

Permintaan jaringan anomali terdeteksi. Precise Defense berhasil memblokir permintaan untuk mencegah kerusakan pada host. Peringatan ini tidak berarti host telah dikompromikan.

Nama peringatan

Deskripsi

Reverse shell

Pusat Keamanan mendeteksi bahwa perintah reverse shell dieksekusi di server Anda. Penyerang menggunakan metode ini untuk membangun koneksi jaringan balik dengan server mereka sendiri, melalui mana perintah arbitrer dapat dieksekusi.

Eksekusi perintah anomali dalam aplikasi Java

Model deteksi menemukan bahwa proses Java di server Anda memulai perilaku berisiko tinggi seperti mengunduh program berbahaya atau menambahkan backdoor, yang kemungkinan disebabkan oleh penggunaan framework web atau middleware yang rentan.

Eksekusi perintah anomali dalam MySQL

Model deteksi menemukan bahwa layanan MySQL Anda mengeksekusi perintah mencurigakan, yang mungkin disebabkan oleh kata sandi lemah dalam layanan MySQL atau injeksi SQL dalam layanan web.

Eksekusi perintah anomali dalam aplikasi PostgreSQL

Model deteksi menemukan bahwa layanan PostgreSQL Anda mengeksekusi perintah mencurigakan, yang mungkin disebabkan oleh kata sandi lemah dalam layanan PostgreSQL atau injeksi SQL dalam layanan web.

Eksploitasi karena Redis yang salah konfigurasi

Model deteksi menemukan bahwa aplikasi Redis di server Anda menulis file mencurigakan ke disk, yang mungkin terjadi karena penyerang mengeksekusi perintah SQL berbahaya melalui kata sandi Redis kosong atau lemah, sehingga memberikan akses langsung ke server.

Penulisan mencurigakan sertifikat login tanpa kata sandi

Keamanan Alibaba Cloud mendeteksi perubahan file anomali di direktori sertifikat root server, yang mungkin merupakan upaya penyerang untuk menyuntikkan sertifikat tanpa kata sandi ke server guna serangan login berikutnya.

Kebocoran informasi mencurigakan melalui terowongan HTTP

Model deteksi menemukan perilaku di server Anda di mana hasil eksekusi perintah dikirim ke server eksternal melalui saluran HTTP, yang mungkin merupakan upaya penyerang untuk mengembalikan hasil eksekusi perintah melalui kerentanan eksekusi perintah jarak jauh (RCE) ke server mereka sendiri.

File pustaka UDF mencurigakan ditulis dengan menyalahgunakan fungsi ekspor Postgres

Model deteksi menemukan bahwa aplikasi Postgres di server Anda mencoba menulis file .so mencurigakan ke disk, yang mungkin terjadi karena penyerang login dengan kata sandi Postgres lemah dan mengeksekusi perintah SQL berbahaya. File ini dapat memungkinkan penyerang mengendalikan server Anda.

File mencurigakan ditulis dengan menyalahgunakan fungsi ekspor MySQL

Model deteksi menemukan bahwa aplikasi MySQL di server Anda mencoba menulis file ke direktori sensitif, yang mungkin terjadi karena penyerang mengeksekusi perintah SQL berbahaya melalui kata sandi lemah atau aplikasi web.

Urutan perintah CMD mencurigakan

Model deteksi menemukan bahwa proses di sistem Anda mengeksekusi serangkaian perintah mencurigakan yang sangat mirip dengan urutan perintah yang biasanya dieksekusi oleh penyerang setelah penyusupan. Kami menyarankan Anda menyelidiki proses induk dari perintah-perintah ini, yang bisa berupa Trojan kendali jarak jauh, layanan web rentan, atau proses sah yang disuntikkan kode berbahaya.

Operasi anomali pada akun Windows

Model deteksi menemukan bahwa konteks di mana perintah ini beroperasi pada akun sistem mencurigakan, yang mungkin merupakan operasi akun pengguna oleh malware atau penyerang.

Operasi skrip mencurigakan

Model deteksi menemukan bahwa perintah ini di mesin Anda terkait dengan skrip dan sangat mencurigakan, yang sangat mungkin terkait dengan malware atau serangan siber.

Operasi registri anomali

Model deteksi menemukan bahwa cara perintah ini beroperasi pada registri di mesin Anda sangat mencurigakan, yang mungkin merupakan modifikasi konfigurasi oleh malware atau penyerang setelah penyusupan.

Eksekusi perintah mencurigakan

Model deteksi menemukan bahwa command line proses yang dieksekusi di server Anda sangat mencurigakan, yang sangat mungkin terkait dengan Trojan, virus, atau perilaku peretasan.

Perintah terobfuscasi mencurigakan di Windows

Command line yang dieksekusi di host terdeteksi kemungkinan terobfuscasi. Eksekusi malware atau proses peretasan sering menggunakan variasi huruf besar/kecil atau karakter khusus untuk mengobfuscasi command line guna menghindari deteksi keamanan.

Path proses mencurigakan

Model deteksi menemukan bahwa proses di server Anda dimulai dari path yang tidak biasa. Perangkat lunak reguler biasanya tidak berada di direktori tersebut. Proses ini bisa berupa virus, Trojan, atau alat yang ditempatkan selama serangan siber.

Perintah terenkripsi mencurigakan

Model deteksi menemukan bahwa command line proses yang dieksekusi di server Anda sangat mencurigakan, yang sangat mungkin terkait dengan Trojan, virus, atau perilaku peretasan.

Urutan perintah mencurigakan di Linux

Model deteksi menemukan bahwa proses di sistem Anda mengeksekusi serangkaian perintah mencurigakan yang sangat mirip dengan urutan perintah yang biasanya dieksekusi oleh penyerang setelah penyusupan. Kami menyarankan Anda menyelidiki proses induk dari perintah-perintah ini, yang bisa berupa reverse shell, Trojan kendali jarak jauh, layanan web rentan, atau proses sah yang disuntikkan kode berbahaya.

Penghapusan anomali log sistem

Model deteksi menemukan proses di sistem Anda yang mencoba menghapus log sistem. Malware atau penyerang sering menghapus log sistem untuk menghindari deteksi.

Penghapusan anomali backup sistem

Model deteksi menemukan proses di sistem Anda yang mencoba menghapus file backup sistem, yang bisa berupa ransomware yang mencoba mencegah pemulihan file untuk meminta tebusan.

Modifikasi anomali konfigurasi keamanan sistem

Model deteksi menemukan proses di mesin Anda yang memodifikasi konfigurasi keamanan sistem, yang bisa berupa malware atau penyerang yang memodifikasi konfigurasi firewall atau perangkat lunak antivirus untuk menghindari deteksi.

Panggilan anomali ke alat sistem

Model deteksi menemukan proses di sistem Anda yang memanggil alat sistem dengan cara mencurigakan. Trojan atau penyerang sering menggunakan metode ini untuk menghindari perangkat lunak keamanan konvensional guna melakukan tindakan berbahaya seperti mengunduh file berbahaya, mengenkripsi atau mendekripsi data, atau memuat kode berbahaya.

Modifikasi anomali item startup

Model deteksi menemukan proses di mesin Anda yang mencoba memodifikasi item auto-start sistem, yang bisa berupa Trojan atau penyerang yang menggunakan item startup untuk mempertahankan persistensi.

Perintah probing mencurigakan

Perintah probing mencurigakan.

Eksekusi perintah mencurigakan di dalam kontainer

Model deteksi menemukan eksekusi perintah anomali di dalam kontainer Anda, yang menunjukkan risiko penyusupan.

Menjalankan gambar kontainer berbahaya

Model deteksi menemukan bahwa server Anda menjalankan gambar kontainer berbahaya, yang sangat mungkin berisi backdoor, program penambangan, virus, atau kerentanan parah yang diketahui. Segera selidiki dan gunakan sumber gambar tepercaya.

Eskalasi hak istimewa atau escape di dalam kontainer

Pusat Keamanan mendeteksi perilaku mencurigakan seperti upaya eskalasi hak istimewa atau escape di dalam kontainer, yang umum dalam tindakan seperti mengakses docker.sock, menggunakan alat escape, atau membuat cgroups. Ada juga kemungkinan ini adalah operasi bisnis normal. Jika ini adalah operasi O&M atau fungsi bisnis normal, Anda dapat mengabaikan peringatan atau menandainya sebagai positif palsu.

Startup kontainer istimewa

Model deteksi menemukan startup kontainer istimewa mencurigakan di server Anda. Kontainer istimewa mengurangi keamanan runtime kontainer. Jika dikompromikan, mereka dapat membahayakan kontainer dan aset lain di server host. Pastikan kontainer istimewa Anda menggunakan sumber gambar tepercaya dan layanan yang berjalan sulit dikompromikan.

Antarmuka debugging jarak jauh Docker berisiko

Model deteksi menemukan bahwa antarmuka debugging jarak jauh Docker Anda terbuka ke 0.0.0.0. Antarmuka debugging jarak jauh Docker yang terpapar ke jaringan publik akan cepat dikompromikan oleh cacing. Bahkan hanya memaparkannya ke jaringan internal juga membawa risiko, karena sering digunakan oleh penyerang untuk pergerakan lateral setelah menyusup ke jaringan internal, mengeksploitasi konfigurasi berbahaya ini untuk mengendalikan lebih banyak sumber daya kontainer.

Dugaan eskalasi hak istimewa

Model deteksi menemukan proses di server Anda yang tampaknya mengeksploitasi kerentanan sistem atau aplikasi untuk mendapatkan hak istimewa lebih tinggi, yang mungkin merupakan upaya eskalasi hak istimewa oleh penyerang selama penyusupan.

Perilaku kontainer anomali

Pusat Keamanan mendeteksi operasi manual di dalam kontainer Anda, seperti menginstal perangkat lunak, mengeksekusi skrip, atau menyelidiki lingkungan kontainer, yang umum dalam penetrasi lateral dan eskalasi hak istimewa oleh penyerang setelah mengompromikan kontainer. Ada juga kemungkinan ini adalah kebutuhan bisnis atau O&M normal. Jika Anda menemukan peringatan ini sebagai positif palsu, Anda dapat memilih "Add to whitelist" atau "Ignore" di halaman penanganan peringatan.

Perilaku pemindaian jaringan yang diprakarsai kontainer

Model deteksi menemukan bahwa kontainer Anda secara proaktif memprakarsai perilaku pemindaian jaringan mencurigakan, yang mungkin merupakan metode yang digunakan penyerang untuk penetrasi mendalam dan pergerakan lateral.

Pengumpulan informasi kredensial di dalam kontainer

Model deteksi menemukan akses ke file sensitif di dalam kontainer Anda, seperti konfigurasi Docker, Swarm, atau Kubernetes, konfigurasi koneksi database, kredensial login, AccessKey API, sertifikat, dan file kunci privat. Segera konfirmasi apakah telah terjadi peristiwa penyusupan dan risiko kebocoran data.

Operasi kontainer berisiko tinggi

Model deteksi menemukan bahwa server Anda melakukan operasi kontainer berisiko tinggi. Lihat detail peringatan untuk alasan spesifiknya. Selidiki perilaku ini. Jika ini adalah operasi O&M atau fungsi bisnis normal, Anda dapat mengabaikan peringatan atau menandainya sebagai positif palsu.

Perusakan waktu file

Model deteksi menemukan proses di server Anda yang mencoba merusak timestamp file, yang mungkin merupakan upaya penyerang untuk menghindari deteksi dengan meniru waktu file sistem normal guna memalsukan waktu pembuatan, akses, atau modifikasi sebenarnya dari file anomali.

Perilaku penerusan proxy jaringan

Model deteksi menemukan panggilan anomali ke alat risiko di server Anda. Alat risiko digunakan oleh penyerang untuk proxy, tunnel, dan alat pemindaian dalam skenario penyusupan server lebih lanjut.

Menyamar sebagai kontainer sistem Kubernetes

Pusat Keamanan mendeteksi bahwa perintah docker dieksekusi di server Anda untuk memulai kontainer yang menyamar sebagai layanan internal Kubernetes, yang umum ketika penyerang men-deploy kontainer backdoor dan menamainya seperti kontainer internal Kubernetes untuk menghindari deteksi.

Operasi manual sensitif di dalam kontainer

Pusat Keamanan memantau operasi manual di dalam kontainer Anda, seperti menginstal perangkat lunak, mengeksekusi skrip, atau menyelidiki lingkungan kontainer, yang umum ketika penyerang, setelah menyusup ke kontainer, perlu memperkaya lingkungan kontainer untuk penetrasi lateral. Ini juga terlihat selama pengujian oleh personel O&M. Harap tentukan apakah perilaku yang terlibat dalam peringatan ini adalah operasi yang sah. Jika ini adalah operasi O&M, Anda dapat memfilter peringatan ini menggunakan aturan daftar putih.

Urutan perintah probing mencurigakan di lingkungan kontainer

Pusat Keamanan mendeteksi serangkaian perintah mencurigakan yang dieksekusi di lingkungan kontainer, yang umum ketika penyerang, setelah mendapatkan akses di dalam kontainer, menyelidiki lingkungan host kontainer, informasi kluster, dan kondisi untuk escape kontainer guna mencapai eskalasi hak istimewa dan pergerakan lateral. Karena tindakan ini relatif kecil, ada juga kemungkinan ini adalah bagian dari kebutuhan bisnis atau O&M normal. Segera selidiki apakah akses dan operasi IP sumber pada sumber daya ini adalah bagian dari bisnis atau O&M normal.

Perintah cacing

Perintah cacing.

Perilaku eksploitasi alat penetrasi

Perilaku eksploitasi alat penetrasi.

Memanggil alat pemindai

Memanggil alat pemindai.

Memulai gambar mencurigakan

Pusat Keamanan menemukan bahwa server Anda memulai kontainer menggunakan gambar mencurigakan, yang umum dalam skenario di mana penyerang mengeksploitasi kerentanan layanan untuk mengendalikan penjadwalan kontainer dan menanamkan gambar berbahaya untuk penambangan, backdoor, dan lainnya. Segera selidiki. Jika ini adalah kebutuhan bisnis normal, Anda dapat mengabaikannya atau menandainya sebagai positif palsu. Pusat Keamanan membangun pustaka intelijen gambar berbahaya dengan merasakan secara real-time penyebaran gambar berbahaya di cloud dan menganalisis repositori gambar publik di Internet. Anda dapat menggunakan fitur Pemindaian Gambar untuk mendeteksi kerentanan, file berbahaya, dan lainnya dalam gambar.

Instruksi PowerShell mencurigakan

Penyerang sering menggunakan PowerShell untuk aktivitas berbahaya seperti mengunduh file berbahaya, menjalankan file berbahaya secara persisten tanpa menyimpannya ke disk, dan membuat reverse shell.

Perilaku implantasi file mencurigakan

Perilaku implantasi file mencurigakan.

Dump memori LSASS

Model deteksi menemukan malware seperti we dan minikazi yang berjalan di server Anda. Alat ini dapat mengekstrak hash akun sistem, yang dapat menyebabkan kebocoran kata sandi akun Anda.

Mengekstrak kredensial identitas sistem operasi

(Tidak tersedia prinsip deteksi spesifik.)

Urutan perilaku proses mencurigakan

Proses terdeteksi memulai beberapa proses anak mencurigakan. Proses ini bisa berupa layanan aplikasi rentan yang diserang penyerang, atau proses itu sendiri bisa berbahaya.

Menjalankan file yang dimuat dinamis dari memori

Menjalankan file yang dimuat dinamis dari memori.

Dugaan injeksi proses

Proses ini menyuntikkan kode ke proses lain, mungkin mencoba menjalankan kode dalam konteks proses lain untuk menghindari deteksi, meningkatkan hak istimewa, atau mengakses informasi sensitif di memori.

Kami menyarankan Anda mengambil langkah-langkah berikut:

1. Periksa file proses dan file proses target. Jika bukan file sah, hentikan proses dan karantina file tersebut. Jika ini proses sah, restart atau hentikan proses tanpa memengaruhi bisnis normal.

2. Bersama dengan informasi peringatan lain di mesin ini, evaluasi secara komprehensif dampak potensial peristiwa penyusupan ini terhadap bisnis dan ambil langkah respons lainnya.

3. Coba analisis penyebab peristiwa penyusupan ini dan perbaiki kerentanan keamanan.

Aplikasi web membuat proses anak anomali

(Tidak tersedia prinsip deteksi spesifik.).

Dugaan serangan lateral jaringan internal

Dugaan serangan lateral jaringan internal.

Perilaku pembuatan backdoor persistensi

Perilaku pembuatan backdoor persistensi.

Perilaku startup backdoor persistensi

Perilaku startup backdoor persistensi.

Proses obfuscation baris perintah

Command line proses di host terdeteksi mengandung pengkodean terobfuscasi, yang sangat mungkin merupakan program berbahaya atau penyerang yang mencoba menghindari deteksi keamanan.

Pengumpulan informasi lingkungan cloud

Pengumpulan informasi lingkungan cloud.

Menjalankan tugas terjadwal anomali

Proses mencurigakan terdeteksi dibuat oleh komponen tugas terjadwal sistem, yang bisa disebabkan oleh program berbahaya atau penyerang yang, setelah mendapatkan akses host, menambahkan kode berbahaya ke tugas terjadwal untuk mempertahankan persistensi.

Backdoor SSH

Proses backdoor terkait Secure Shell (SSH) terdeteksi. Setelah mendapatkan akses ke host Linux, program berbahaya atau penyerang dapat memodifikasi file atau konfigurasi terkait untuk meninggalkan backdoor login melalui program SSH.

Backdoor ekstensi Editor

Program backdoor yang diduga terkait komponen ekstensi editor ditemukan. Program berbahaya atau penyerang dapat menggunakan fungsionalitas ekstensi editor normal untuk menyembunyikan program backdoor.

Dugaan escape melalui perusakan file

Pusat Keamanan mendeteksi tindakan membuka file penting dalam "mode tulis", yang umum dalam skenario escape dari kontainer ke host dengan merusak file. Anda dapat fokus menyelidiki apakah proses, file yang dioperasikan, dan properti pembukaan file berasal dari operasi bisnis normal. Jika ini adalah operasi O&M atau fungsi bisnis normal, Anda dapat mengabaikan peringatan atau menandainya sebagai positif palsu.

Meminta nama domain serangan out-of-band (OOB)

Proses di host terdeteksi meminta nama domain yang sering digunakan untuk eksfiltrasi data out-of-band. Penyerang sering menentukan dalam muatan bahwa nama domain target harus diminta setelah eksploitasi berhasil, lalu menentukan keberhasilan serangan dengan mengamati apakah nama domain spesifik diminta.

Perilaku pembuatan shell pseudo-terminal anomali

(Tidak tersedia prinsip deteksi spesifik.)

Mengakses nama domain pool penambangan mencurigakan

Proses di host terdeteksi meminta nama domain pool penambangan mencurigakan, yang berarti mesin mungkin berkomunikasi dengan pool penambangan. Selidiki lebih lanjut perilaku penambangan berdasarkan peringatan dan tindakan yang disarankan.

Startup program escape kontainer

Usermode Helper API adalah mekanisme dalam kernel Linux untuk memanggil program ruang pengguna yang ditentukan pengguna, seperti program yang ditentukan melalui file seperti /proc/sys/kernel/core_pattern. Ketika program ini dieksekusi, ia memiliki hak istimewa root host. Mekanisme kernel ini umumnya tidak boleh digunakan dalam kontainer. Oleh karena itu, ketika program di dalam kontainer dipanggil oleh kernel host, biasanya mewakili perilaku escape.

Perusakan token Windows untuk eskalasi hak istimewa

Perusakan token Windows untuk eskalasi hak istimewa

Mengakses nama domain tunnel mencurigakan

Proses di host terdeteksi meminta nama domain tunnel mencurigakan, yang berarti mesin mungkin melakukan komunikasi proxy tunnel. Selidiki lebih lanjut berdasarkan peringatan dan tindakan yang disarankan.

Modifikasi anomali file sistem

Modifikasi anomali file sistem.

Memodifikasi item auto-start registri

Memodifikasi item auto-start registri.

Perilaku modifikasi tugas terjadwal

Perilaku modifikasi tugas terjadwal.

Perilaku modifikasi kebijakan sistem mencurigakan

Perilaku modifikasi kebijakan sistem mencurigakan.

Aplikasi web memodifikasi file anomali

Aplikasi web memodifikasi file anomali.

Pemalsuan proses induk

Pemalsuan proses induk.

Kontainer memasang path host berisiko tinggi

Kontainer memasang path host berisiko tinggi.

Pembajakan alur kendali menggunakan variabel lingkungan

Pembajakan alur kendali menggunakan variabel lingkungan.

Nama peringatan

Deskripsi

File webshell ditemukan

Model deteksi menemukan file webshell mencurigakan di server Anda, yang mungkin merupakan file backdoor yang ditanamkan oleh penyerang untuk mempertahankan akses setelah berhasil mengompromikan situs web.

File log atau gambar berisi kode webshell

Model deteksi menemukan file di server Anda dengan kode webshell yang disisipkan, yang mungkin merupakan upaya penyerang untuk mengeksploitasi kerentanan inklusi file.

Backdoor penulisan file arbitrer ditemukan

Pusat Keamanan menemukan file di disk sistem Anda yang dapat menyebabkan penulisan file arbitrer, yang mungkin ditanamkan oleh penyerang setelah penyusupan jaringan berhasil atau berupa file O&M milik administrator. Kami menyarankan Anda terlebih dahulu mengonfirmasi legalitas file dan menanganinya.

Backdoor pencuri informasi ditemukan

Pusat Keamanan menemukan file di disk sistem Anda yang dapat menyebabkan pencurian informasi, seperti log operasi database, yang mungkin ditanamkan oleh penyerang setelah penyusupan jaringan berhasil atau berupa file O&M milik administrator. Kami menyarankan Anda terlebih dahulu mengonfirmasi legalitas file dan menanganinya.

File backdoor Trojan atau hotlinking ditemukan

Model deteksi menemukan file Trojan mencurigakan di disk sistem Anda, yang mungkin ditanamkan oleh penyerang setelah berhasil mengompromikan situs web. File ini menunjukkan perilaku berbahaya seperti pengalihan berbahaya untuk lalu lintas. Kami menyarankan Anda terlebih dahulu mengonfirmasi legalitas file dan menanganinya. Jika ini dideploy oleh administrator, Anda dapat memilih untuk mengabaikannya atau menandainya sebagai positif palsu di konsol.

Backdoor web tipe DLL ditemukan

Model deteksi menemukan file webshell mencurigakan di server Anda, yang mungkin merupakan file backdoor yang ditanamkan oleh penyerang untuk mempertahankan akses setelah berhasil mengompromikan situs web.

Nama peringatan

Deskripsi

Login ke instans ECS dari lokasi tidak biasa

Lokasi login berada di luar rentang lokasi login sah yang telah Anda tentukan. Harap konfirmasi legalitas login tersebut.

Login ke instans ECS dari alamat IP tidak biasa

Alamat IP login berada di luar rentang alamat IP sah yang telah Anda tentukan. Harap konfirmasi legalitas perilaku login tersebut.

Login ke instans ECS dengan akun tidak biasa

Akun login berada di luar rentang akun sah yang telah Anda tentukan. Harap konfirmasi legalitas perilaku login tersebut.

Login ke instans ECS pada waktu tidak biasa

Waktu login berada di luar rentang waktu login sah yang telah Anda tentukan. Harap konfirmasi legalitas perilaku login tersebut.

Serangan brute-force yang berhasil pada instans ECS

Instans ECS Anda berhasil dilogin setelah beberapa kali percobaan kata sandi gagal. Sistem awalnya menentukan bahwa penyerang telah menebak kata sandi.

Serangan brute-force yang berhasil pada instans ECS (SSH)

Model deteksi menemukan bahwa server Anda sedang mengalami serangan brute-force SSH, dan penyerang berhasil login ke sistem setelah menebak kata sandi layanan SSH Anda setelah sejumlah percobaan.

Serangan brute-force yang berhasil pada instans ECS (RDP)

Model deteksi menemukan bahwa server Anda sedang mengalami serangan brute-force RDP, dan penyerang berhasil login ke sistem setelah menebak kata sandi layanan RDP Anda setelah sejumlah percobaan.

Urutan perintah anomali dieksekusi setelah login ECS (SSH)

Model deteksi menemukan bahwa setelah alamat IP login ke server Anda, serangkaian perintah berbahaya dieksekusi, yang sangat mungkin disebabkan oleh kata sandi server yang lemah atau bocor yang digunakan oleh penyerang untuk login dan mengeksekusi perintah.

Login akun anomali

Model menemukan bahwa Anda menambahkan akun anomali ke grup pengguna administrator dan mendeteksi bahwa akun ini memiliki aktivitas login. Jika ini bukan tindakan Anda, segera hapus akun ini.

Login dari alamat IP berbahaya

Model deteksi menemukan bahwa server Anda berhasil dilogin dari alamat IP berbahaya yang memiliki riwayat perilaku serangan berbahaya. Jika ini bukan login Anda, segera ubah kata sandi ECS.

Login akun backdoor

Model deteksi menemukan bahwa akun backdoor yang sebelumnya ditanamkan oleh penyerang di server Anda baru saja berhasil dilogin. Jika ini bukan tindakan Anda, segera hapus akun ini.

Dugaan aktivitas pemindaian login eksternal

Model deteksi menemukan bahwa server Anda sering memprakarsai pemindaian brute-force outbound protokol seperti SSH, RDP, dan SMB, yang mungkin terjadi karena server Anda telah dikompromikan oleh penyerang dan digunakan sebagai batu loncatan untuk menyerang mesin lain.

Serangan brute-force yang berhasil pada instans ECS (beberapa pengguna tidak valid)

Model deteksi menemukan bahwa alamat IP mencoba login ke server Anda dengan beberapa nama pengguna tidak valid dan akhirnya berhasil. Jika ini bukan login Anda, segera ubah kata sandi ECS.

Login dari alamat IP berbahaya (MySQL)

Model deteksi menemukan bahwa aplikasi MySQL di server Anda berhasil dilogin dari alamat IP berbahaya yang memiliki riwayat perilaku serangan berbahaya. Jika ini bukan login Anda, segera ubah kata sandi MySQL.

Login dari alamat IP berbahaya (FTP)

Model deteksi menemukan bahwa aplikasi FTP di server Anda berhasil dilogin dari alamat IP berbahaya yang memiliki riwayat perilaku serangan berbahaya. Jika ini bukan login Anda, segera ubah kata sandi FTP.

Login dari alamat IP berbahaya (SQL Server)

Model deteksi menemukan bahwa aplikasi SQL Server di server Anda berhasil dilogin dari alamat IP berbahaya yang memiliki riwayat perilaku serangan berbahaya. Jika ini bukan login Anda, segera ubah kata sandi SQL Server.

Nama peringatan

Deskripsi

Program Trojan

Model deteksi menemukan program Trojan di server Anda. Program Trojan dirancang khusus untuk menyusup ke host pengguna. Biasanya menyamar untuk ditanamkan ke sistem dan kemudian mengunduh serta melepaskan program berbahaya lainnya.

Komunikasi Trojan C2 mencurigakan

Program Trojan C2 berbahaya.

DDoS Trojan

Model deteksi menemukan Trojan DDoS yang berjalan di server Anda. Trojan DDoS adalah program berbahaya yang menerima instruksi dari host yang dikompromikan untuk meluncurkan serangan DDoS terhadap target yang ditentukan oleh penyerang.

Ransomware

Model deteksi menemukan ransomware yang berjalan di server Anda. Ransomware adalah program berbahaya yang mengenkripsi semua file data kritis di host untuk meminta tebusan.

Program backdoor

Model deteksi menemukan program backdoor yang berjalan di server Anda. Program backdoor adalah program persisten yang ditanamkan di sistem yang memungkinkan penyerang mempertahankan akses berkelanjutan ke host.

Virus menular

Model deteksi menemukan virus menular yang berjalan di server Anda. Virus menular adalah program berbahaya tingkat lanjut di mana tubuh virus menyuntikkan kode berbahaya ke file program normal untuk dieksekusi. Akibatnya, banyak program normal menjadi terinfeksi dan terdeteksi sebagai host.

Cacing

Model deteksi menemukan cacing yang berjalan di server Anda. Cacing adalah program yang digunakan untuk serangan pergerakan lateral dari host yang dikompromikan ke host lain. Ini sering melibatkan aktivitas seperti eksploitasi kerentanan dan pemecahan kata sandi.

Program berbahaya

Model deteksi menemukan program berbahaya yang berjalan di server Anda. Program berbahaya adalah program yang memiliki berbagai karakteristik perilaku berbahaya, atau program pihak ketiga yang menyebabkan gangguan atau kerusakan.

Program penambangan

Model deteksi menemukan program penambangan yang berjalan di server Anda. Program penambangan adalah program yang merebut sumber daya komputasi host untuk menambang mata uang virtual. Ini sering mengakibatkan penggunaan CPU tinggi dan keberadaan program berbahaya terkait lainnya di host.

Program mencurigakan

Model deteksi menemukan program mencurigakan yang berjalan di server Anda. Program mencurigakan biasanya memiliki beberapa karakteristik kode berbahaya atau perilaku sangat mencurigakan dan belum diklasifikasikan dengan jelas. Anda perlu mengevaluasinya berdasarkan informasi yang diberikan.

Program berisiko tinggi

Pemindaian cloud (program berisiko tinggi).

Trojan yang bermutasi sendiri

Model deteksi menemukan Trojan yang bermutasi sendiri yang berjalan di server Anda. Trojan yang bermutasi sendiri adalah program Trojan dengan kemampuan mutasi sendiri. Ini mengubah hash-nya sendiri atau menyalin dirinya ke banyak path berbeda dan berjalan di latar belakang untuk menghindari pembersihan.

Perangkat lunak dasar terkontaminasi

Model deteksi menemukan perangkat lunak dasar terkontaminasi di server Anda. Perangkat lunak dasar terkontaminasi adalah jenis khusus program berbahaya, biasanya program sistem normal yang disuntikkan kode berbahaya. Meskipun mempertahankan fungsionalitas perangkat lunak dasar aslinya, ia memiliki perilaku berbahaya tersembunyi.

Program eksploitasi

Model deteksi menemukan program eksploitasi yang berjalan di server Anda. Program eksploitasi digunakan untuk menyerang atau mencoba menyerang kerentanan yang diketahui dalam sistem operasi atau aplikasi untuk mencapai eskalasi hak istimewa, escape, eksekusi kode arbitrer, dan tujuan lainnya.

Alat peretas

Model deteksi menemukan alat peretas di server Anda. Alat peretas digunakan oleh penyerang selama penyusupan untuk eskalasi hak istimewa, mencuri data sensitif, meng-uninstall perangkat lunak keamanan, atau sebagai program backdoor yang ditanamkan di sistem setelah penyusupan.

Rootkit

Model deteksi menemukan rootkit di server Anda. Rootkit adalah modul berbahaya yang ditanamkan di inti sistem untuk menyembunyikan jejaknya sendiri atau jejak program berbahaya lainnya.

Modul kernel rootkit

Model deteksi menemukan rootkit di server Anda. Rootkit adalah modul berbahaya yang ditanamkan di inti sistem untuk menyembunyikan jejaknya sendiri atau jejak program berbahaya lainnya.

Program sangat mencurigakan

Model deteksi menemukan program mencurigakan yang berjalan di server Anda. Program mencurigakan biasanya memiliki beberapa karakteristik kode berbahaya atau perilaku sangat mencurigakan dan belum diklasifikasikan dengan jelas. Anda perlu mengevaluasinya berdasarkan informasi yang diberikan.

Riskware

Model deteksi menemukan riskware di host cloud Anda. Riskware belum tentu program benar-benar berbahaya; mungkin alat perangkat lunak biasa. Namun, ia memiliki beberapa fungsi yang dapat menimbulkan ancaman bagi host. Jika digunakan oleh seseorang dengan niat jahat dalam serangan siber, ia dapat menyebabkan kerusakan. Riskware umum termasuk alat manajemen proses, alat manajemen layanan sistem, dan alat manajemen jarak jauh. Situasi spesifik perlu dinilai oleh pengguna berdasarkan informasi.

Trojan downloader

Model deteksi menemukan Trojan downloader di server Anda. Trojan downloader biasanya mengunduh dan melepaskan program pihak ketiga seperti Trojan berbahaya dan adware.

Alat proxy

Model deteksi menemukan alat proxy di host. Alat proxy digunakan oleh penyerang untuk proxy dan tunneling, sering dalam skenario penyusupan server lebih lanjut.

Program uji mesin

Model deteksi menemukan program uji mesin di host. Program ini sering digunakan untuk memeriksa apakah mesin deteksi virus berfungsi dengan baik.

Alat pencuri informasi

Model deteksi menemukan alat pencuri informasi di host. Alat pencuri informasi sering digunakan untuk mencuri berbagai file dan informasi sensitif dari host.

Pemindai

Model deteksi menemukan pemindai di host. Pemindai sering digunakan oleh penyerang untuk menemukan host aktif, port terbuka, dan host dengan risiko keamanan seperti kerentanan dan kata sandi lemah, sering untuk skenario penyusupan lebih lanjut.

Ransomware

File mencurigakan ditemukan di disk sistem Anda. Kami menyarankan Anda terlebih dahulu mengonfirmasi legalitas file dan menanganinya.

Adware

Model deteksi menemukan adware di server Anda. Adware biasanya ditanamkan dalam perangkat lunak normal, mengganggu penggunaan server normal dan mengonsumsi sumber daya ekstra.

Program terobfuskasi

Model deteksi menemukan program terobfuscasi di server Anda. Malware tingkat lanjut sering mengobfuscasi dirinya untuk menghindari deteksi.

Program cracking

Model deteksi menemukan program cracking di server Anda. Sumber program cracking semacam ini tidak diketahui dan mungkin menimbulkan potensi risiko keamanan.

Alat server pribadi

Model deteksi menemukan alat server pribadi di server Anda. Alat server pribadi umumnya digunakan dalam skenario game atau cheat dan mungkin berisi kode berbahaya.

Backdoor reverse shell

Pemindaian cloud (backdoor reverse shell).

Dokumen berbahaya

Model deteksi mengidentifikasi file dokumen berbahaya. Dokumen berbahaya digunakan oleh penyerang untuk serangan phishing, memancing pengguna untuk mengklik dan mengeksekusi muatan berbahaya untuk mendapatkan kendali.

Nama peringatan

Deskripsi

Login tidak biasa pengguna RAM

Peringatan ini berarti bahwa pengguna RAM di bawah akun Anda telah login dari lokasi tidak biasa. Jenis peringatan ini dapat terjadi ketika Anda mengubah lokasi login Anda. Jika permintaan login bukan untuk kebutuhan bisnis normal Anda, itu berarti penyerang mungkin telah mendapatkan nama pengguna dan kata sandi akun tersebut.

Alamat IP berbahaya menggunakan AccessKey

Sistem mendeteksi bahwa alamat IP berbahaya menggunakan AccessKey Anda. Jika Anda mengonfirmasi bahwa ini bukan operasi Anda sendiri, segera nonaktifkan dan ganti AccessKey tersebut.

Akses mencurigakan ke OSS

Peringatan ini berarti bahwa pengguna menggunakan alat OSS untuk mengakses bucket Anda secara anomali, yang mungkin disebabkan oleh perubahan alamat IP pemanggil atau kegagalan panggilan API. Harap konfirmasi apakah IP sumber permintaan dan operasi alat tersebut merupakan bagian dari kebutuhan bisnis normal. Jika tidak, penyerang mungkin telah mengendalikan bucket OSS Anda.

Perintah anomali dari Cloud Assistant

Model deteksi menemukan bahwa akun cloud Anda memanggil perintah di server Anda melalui Cloud Assistant OpenAPI, dan konten perintah tersebut berbahaya. Sangat mungkin penyerang telah mendapatkan AccessKey Anda untuk melakukan operasi berbahaya.

Panggilan AccessKey anomali

Sistem mendeteksi perilaku panggilan anomali dengan AccessKey Anda.

Kredensial peran instans ECS dipanggil secara eksternal

Model mendeteksi bahwa kredensial sementara Security Token Service (STS) untuk peran yang Anda berikan ke instans ECS sedang dipanggil dari alamat IP eksternal, yang mungkin menunjukkan bahwa instans ECS terkait telah dikompromikan. Penyerang mungkin telah mencuri kredensial sementara STS untuk peran yang terkait dengan instans tersebut dan menggunakannya untuk melakukan panggilan eksternal. Alibaba Cloud tidak merekomendasikan penggunaan kredensial ini di host selain yang memintanya. Untuk informasi selengkapnya tentang peran instans ECS, lihat Instance RAM roles.

Pembajakan pendaftaran Cloud Assistant

Sistem mendeteksi bahwa akun Alibaba Cloud lain menginstal Cloud Assistant di instans ECS Anda untuk mencapai kendali perintah jarak jauh. Harap segera konfirmasi apakah ini operasi oleh personel O&M terkait dan periksa server untuk anomali lainnya.

Alat peretas menggunakan AK

AccessKey (AK) Anda terdeteksi digunakan oleh alat peretas. Harap segera konfirmasi apakah ini perilaku pengguna normal.

Kredensial peran ECS dipanggil oleh akun Alibaba Cloud lain

Model mendeteksi bahwa kredensial sementara Security Token Service (STS) untuk peran yang ditetapkan ke instans ECS Anda sedang dipanggil dari alamat IP eksternal, yang mungkin menunjukkan bahwa instans ECS telah diserang. Penyerang mungkin telah mencuri kredensial sementara STS dari peran yang terkait dengan instans tersebut dan menggunakannya untuk melakukan panggilan eksternal. Alibaba Cloud tidak merekomendasikan penggunaan kredensial ini di host selain yang memintanya. Untuk informasi selengkapnya tentang peran instans ECS, lihat Instance RAM roles.

Panggilan anomali ke API sensitif oleh kredensial peran ECS

Model mendeteksi bahwa peran instans ECS Anda melakukan operasi API sensitif. Harap segera konfirmasi identitas alamat IP pemanggil dan verifikasi apakah aktivitas tersebut merupakan bagian dari perilaku bisnis normal. Jika IP tersebut milik ECS di bawah aset Anda sendiri, Anda juga perlu memeriksa risiko kompromi. Dalam penyusupan, penyerang dapat mencuri kredensial peran instans ECS dengan mengompromikan server atau situs web dan menggunakan identitas ini untuk melakukan panggilan API sensitif tersebut untuk serangan lebih lanjut.

Identitas mencurigakan memanggil API sensitif

Model mendeteksi bahwa akun Anda melakukan panggilan API yang relatif sensitif, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Traversal anomali sumber daya ECS

Anda terdeteksi melakukan traversal instance sumber daya di berbagai wilayah, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Traversal anomali sumber daya RDS

Model mendeteksi bahwa Anda melakukan traversal instance sumber daya di berbagai wilayah, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Traversal anomali izin akses OSS

Model mendeteksi bahwa Anda melakukan traversal daftar kontrol akses (ACL) beberapa bucket OSS, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Pembuatan anomali sub-akun berhak tinggi

Akun ini membuat pengguna RAM dengan hak istimewa admin dan mengaktifkan login konsol web. Penyerang sering menggunakan metode ini untuk menanamkan backdoor untuk operasi penyusupan berikutnya. Segera selidiki apakah pembuatan sub-akun ini merupakan operasi sah oleh personel terkait.

Traversal anomali izin beberapa sub-akun

Model mendeteksi bahwa Anda melakukan traversal kebijakan izin beberapa sub-akun, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Traversal anomali izin sub-akun tunggal

Model mendeteksi bahwa Anda melakukan traversal kebijakan izin sub-akun dan grup penggunanya, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Traversal anomali izin peran

Model mendeteksi bahwa Anda melakukan traversal kebijakan izin beberapa peran di akun, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Pembukaan anomali akses jaringan publik ke database

Model mendeteksi bahwa Anda mengubah database agar dapat diakses dari jaringan publik dan menambahkan daftar putih IP, dan IP pemanggil bukan dari lokasi geografis umum. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal untuk menghindari risiko kebocoran AccessKey (AK).

Pembuatan anomali peran berhak tinggi

Untuk menggunakan peran, biasanya cukup memberikan izin untuk layanan tertentu. Tidak disarankan untuk langsung memberikan hak istimewa administrator ke peran. Harap verifikasi dan konfirmasi sesegera mungkin apakah pembuatan peran ini merupakan kebutuhan bisnis normal.

Perilaku probing izin anomali

Model mendeteksi bahwa Anda melakukan traversal izin panggilan API beberapa produk cloud, yang menyerupai perilaku panggilan otomatis alat peretas. Anda perlu memverifikasi identitas pemanggil dan apakah operasi terkait masuk akal sesegera mungkin untuk menghindari risiko kebocoran AccessKey (AK).

Pengguna RAM login ke konsol dan melakukan operasi sensitif

Pengguna RAM terdeteksi mengaktifkan login konsol web dan melakukan operasi yang relatif sensitif di konsol.

Perintah anomali dari Cloud Assistant

Model deteksi menemukan bahwa akun cloud Anda memanggil perintah di server Anda melalui Cloud Assistant OpenAPI, dan konten perintah tersebut berbahaya. Sangat mungkin penyerang telah mendapatkan AccessKey Anda untuk melakukan operasi berbahaya.

Nama peringatan

Deskripsi

Koneksi proaktif ke sumber unduhan berbahaya

Model deteksi menemukan melalui lalu lintas HTTP bahwa server Anda mencoba mengakses sumber unduhan berbahaya mencurigakan. Ini mungkin penyerang yang mengunduh file berbahaya dari server jarak jauh melalui kata sandi lemah atau kerentanan eksekusi perintah, yang membahayakan keamanan server.

Dugaan perilaku pemindaian port sensitif

Model deteksi menemukan bahwa proses di server Anda memulai terlalu banyak permintaan jaringan ke port sensitif dalam waktu singkat, yang diduga sebagai perilaku pemindaian port.

Koneksi jaringan anomali di Windows

Model deteksi menemukan bahwa perilaku koneksi jaringan proses di sistem Anda anomali. Sangat mungkin terkait dengan virus, Trojan, atau perilaku peretasan.

Koneksi jaringan outbound reverse shell

Pusat Keamanan mendeteksi koneksi jaringan outbound reverse shell yang dicurigai. Penyerang menggunakan metode ini untuk membangun koneksi jaringan balik dengan server mereka sendiri, melalui mana perintah arbitrer dapat dieksekusi. Segera selidiki. Jika ini adalah operasi O&M atau fungsi bisnis normal, Anda dapat mengabaikan peringatan atau menandainya sebagai positif palsu.

Mendengarkan port mencurigakan

Mendengarkan port mencurigakan.

Pemindaian jaringan internal

Model deteksi menemukan proses di server Anda yang memprakarsai perilaku pemindaian yang dicurigai terhadap port tertentu dari beberapa alamat IP internal dalam waktu singkat. Ini mungkin penyerang yang mencoba pergerakan lateral setelah penyusupan.

Panggilan manual ke API kontainer

Pusat Keamanan menemukan akses manual mencurigakan ke API kontainer. Dalam skenario di mana layanan kontainer belum mengaktifkan autentikasi dan otorisasi, penyerang dapat mengakses API kontainer untuk mendapatkan informasi kontainer, membuat kontainer, mengeksekusi perintah berbahaya di kontainer, dan mengunggah gambar berbahaya. Ada juga kemungkinan ini adalah operasi manual normal oleh O&M. Segera selidiki.

Nama peringatan

Detail deteksi

File skrip berbahaya ditemukan

Model deteksi menemukan file skrip berbahaya di server Anda. File ini sangat mungkin ditanamkan oleh penyerang setelah berhasil mengompromikan server. Kami menyarankan Anda memeriksa legalitas konten file berdasarkan tag skrip berbahaya dan menanganinya.

Eksekusi kode skrip berbahaya

Model deteksi menemukan bahwa kode skrip berbahaya seperti Bash, PowerShell, atau Python sedang dieksekusi di server Anda.

Perilaku unduh mencurigakan ditemukan

Model deteksi menemukan perilaku unduh mencurigakan di server Anda. File ini mungkin merupakan operasi perintah yang dieksekusi oleh penyerang setelah berhasil mengompromikan server. Kami menyarankan Anda memeriksa legalitas eksekusi perintah ini dan menanganinya.

File skrip mencurigakan ditemukan

Model deteksi menemukan file skrip mencurigakan di server Anda. File ini mungkin ditanamkan oleh penyerang setelah berhasil mengompromikan server. Kami menyarankan Anda memeriksa legalitas konten file berdasarkan tag skrip berbahaya dan menanganinya.

Eksekusi kode skrip mencurigakan

Model deteksi menemukan bahwa kode skrip mencurigakan seperti Bash, PowerShell, atau Python sedang dieksekusi di server Anda.

Skrip berbahaya

SCRIPT_agentless.

File berisi kode berbahaya

Model deteksi menemukan file skrip berbahaya di server Anda. File ini sangat mungkin ditanamkan oleh penyerang setelah berhasil mengompromikan server. Kami menyarankan Anda memeriksa legalitas konten file berdasarkan tag skrip berbahaya dan menanganinya.

File berisi kode mencurigakan

Model deteksi menemukan file skrip berbahaya di server Anda. File ini sangat mungkin ditanamkan oleh penyerang setelah berhasil mengompromikan server. Kami menyarankan Anda memeriksa legalitas konten file berdasarkan tag skrip berbahaya dan menanganinya.

Nama peringatan

Deskripsi

Kode anomali resident di memori

Pusat Keamanan mendeteksi kode berbahaya di ruang memori proses ini, yang menunjukkan bahwa proses sah mungkin telah disuntikkan instruksi berbahaya setelah startup, atau file proses itu sendiri berbahaya.

Kami menyarankan Anda mengambil tindakan berikut:

1. Periksa file proses. Jika bukan file sah, hentikan proses dan karantina file tersebut. Jika ini proses sah, hentikan proses tanpa memengaruhi bisnis normal.

2. Bersama dengan informasi peringatan lain di mesin ini, evaluasi secara komprehensif dampak potensial peristiwa penyusupan ini terhadap bisnis dan ambil langkah respons lainnya.

3. Coba analisis penyebab peristiwa penyusupan ini dan perbaiki kerentanan keamanan.

Proses backdoor

Model deteksi menemukan proses mencurigakan yang tampaknya backdoor di server Anda, yang mungkin merupakan mekanisme persistensi yang ditinggalkan penyerang untuk mempertahankan akses.

Backdoor auto-start

Pusat Keamanan mendeteksi item auto-start anomali di host Anda, yang sangat mungkin ditanamkan oleh malware atau penyerang untuk mempertahankan persistensi program berbahaya. Jika item auto-start ini tidak ditangani, program berbahaya sangat mungkin ditanamkan lagi. Oleh karena itu, kami menyarankan Anda menggunakan "Virus Defense" untuk melakukan pemindaian dan pembersihan komprehensif di host, atau menanganinya secara manual berdasarkan detail di peringatan.

Persistensi proses anomali

Model deteksi menemukan proses anomali di antara program yang sedang berjalan di server Anda, yang mungkin merupakan program berbahaya atau program normal yang telah memuat kode berbahaya.

Skrip item startup berbahaya

Model deteksi menemukan bahwa beberapa file item auto-start di server Anda mencurigakan, yang mungkin merupakan mekanisme persistensi yang dibuat oleh malware atau penyerang melalui tugas terjadwal atau skrip auto-start.

Proses tersembunyi

Pusat Keamanan mendeteksi bahwa proses ini adalah proses tersembunyi, yang tidak dapat ditampilkan oleh alat tampilan proses konvensional. Malware atau penyerang menggunakan berbagai teknik untuk menyembunyikan proses program berbahaya. Host sangat mungkin telah terinfeksi backdoor rootkit.

Backdoor kunci publik SSH

Model deteksi menemukan kunci publik login SSH anomali di server Anda. Kunci publik SSH ini memiliki riwayat ditambahkan ke server yang dikompromikan oleh cacing atau penyerang untuk mempertahankan akses.

Trojan kendali jarak jauh Cobalt Strike

Backdoor kendali jarak jauh Cobalt Strike terdeteksi di memori proses ini.

Dimungkinkan penyerang menggunakan teknik injeksi proses untuk menyuntikkan kode berbahaya lintas proses ke proses ini. Bahkan jika file asli proses ini normal, ia akan mengeksekusi kode berbahaya setelah disuntikkan.

Dimungkinkan juga program itu sendiri berbahaya.

Kami menyarankan Anda mengambil langkah-langkah berikut:

1. Periksa file proses. Jika bukan file sah, hentikan proses dan karantina file tersebut. Jika ini proses sah, hentikan proses tanpa memengaruhi bisnis normal.

2. Bersama dengan informasi peringatan lain di mesin ini, evaluasi secara komprehensif dampak potensial peristiwa penyusupan ini terhadap bisnis dan ambil langkah respons lainnya.

3. Coba analisis penyebab peristiwa penyusupan ini dan perbaiki kerentanan keamanan.

Modul kernel tersembunyi

Model deteksi menemukan modul kernel tersembunyi di server Anda, yang sangat mungkin merupakan backdoor rootkit yang ditanamkan oleh penyerang atau malware untuk mempertahankan hak istimewa sistem dan menyembunyikan aktivitas berbahaya lainnya.

Backdoor resident di memori aplikasi web

Kode atau data mencurigakan terdeteksi di proses aplikasi web di host, yang bisa berupa kode antara yang dihasilkan saat kerentanan dieksploitasi atau backdoor yang dipasang penyerang untuk mempertahankan akses. Jenis backdoor ini hanya ada di memori proses dan tidak memerlukan file yang disimpan di disk. Kami menyarankan Anda terlebih dahulu memperbaiki kerentanan aplikasi web dan me-restart aplikasi web untuk menonaktifkan backdoor, serta memperhatikan peringatan terkait lainnya di host. Jika Anda yakin peringatan ini adalah positif palsu, Anda dapat memilih untuk mengabaikan atau menambahkan peringatan ke daftar putih.

Serangan injeksi tiket Kerberos

Serangan injeksi tiket Kerberos.

Serangan persistensi langganan acara WMI

Serangan persistensi langganan acara WMI.

Serangan persistensi controller domain Skeleton Key

Serangan persistensi controller domain Skeleton Key.

Pemalsuan path proses

Pemalsuan path proses.

Kunci registri anomali

Model deteksi menemukan item konfigurasi registri mencurigakan di server Anda. Malware sering memodifikasi konfigurasi registri kunci tertentu untuk berjalan secara persisten atau mengganggu perlindungan keamanan normal.

Pemuatan file pustaka anomali

Pemuatan file pustaka anomali.

Perusakan gambar eksekusi proses

Perusakan gambar eksekusi proses.

Serangan injeksi SID History

Serangan injeksi SID History.

Pembajakan fungsi pustaka tautan dinamis

Pembajakan fungsi pustaka tautan dinamis.

Modul .NET anomali dimuat ke memori

Modul .NET anomali dimuat ke memori.

Tugas terjadwal anomali

Tugas terjadwal anomali.

Tugas terjadwal anomali

Tugas terjadwal anomali.

Eksekusi thread anomali

Eksekusi thread anomali.

Perilaku menyembunyikan proses

Perilaku menyembunyikan proses.

Kode anomali ditemukan di memori aplikasi web

Kode anomali ditemukan di memori aplikasi web

Layanan anomali di Linux

Layanan anomali di Linux.

Layanan anomali di Windows

Layanan anomali di Windows.

Pembajakan file pustaka dasar sistem

Pembajakan file pustaka dasar sistem.

Pembajakan fungsi runtime proses

Pembajakan fungsi runtime proses.

Skrip startup anomali di Linux

Skrip startup anomali di Linux.

Trojan kendali jarak jauh Cobalt Strike

Backdoor kendali jarak jauh Cobalt Strike terdeteksi di memori proses ini.

Dimungkinkan penyerang menggunakan teknik injeksi proses untuk menyuntikkan kode berbahaya lintas proses ke proses ini. Bahkan jika file asli proses ini normal, ia akan mengeksekusi kode berbahaya setelah disuntikkan.

Dimungkinkan juga program itu sendiri berbahaya.

Kami menyarankan Anda mengambil langkah-langkah berikut:

1. Periksa file proses. Jika bukan file sah, hentikan proses dan karantina file tersebut. Jika ini proses sah, hentikan proses tanpa memengaruhi bisnis normal.

2. Bersama dengan informasi peringatan lain di mesin ini, evaluasi secara komprehensif dampak potensial peristiwa penyusupan ini terhadap bisnis dan ambil langkah respons lainnya.

3. Coba analisis penyebab peristiwa penyusupan ini dan perbaiki kerentanan keamanan.

Serangan injeksi tiket Kerberos

Serangan injeksi tiket Kerberos.

Layanan anomali di Linux

Layanan anomali di Linux.

Tugas terjadwal anomali

Tugas terjadwal anomali.

Serangan injeksi SID History

Serangan injeksi SID History.

Serangan persistensi controller domain Skeleton Key

Serangan persistensi controller domain Skeleton Key.

Layanan anomali di Windows

Layanan anomali di Windows.

Tugas terjadwal anomali

Tugas terjadwal anomali.

Serangan persistensi langganan acara WMI

Serangan persistensi langganan acara WMI.

Pembajakan fungsi pustaka tautan dinamis

Pembajakan fungsi pustaka tautan dinamis.

Proses backdoor

Model deteksi menemukan proses mencurigakan yang tampaknya backdoor di server Anda, yang mungkin merupakan mekanisme persistensi yang ditinggalkan penyerang untuk mempertahankan akses.

Modul .NET anomali dimuat ke memori

Modul .NET anomali dimuat ke memori.

Kode anomali resident di memori

Pusat Keamanan mendeteksi kode berbahaya di ruang memori proses ini, yang menunjukkan bahwa proses sah mungkin telah disuntikkan instruksi berbahaya setelah startup, atau file proses itu sendiri berbahaya.

Kami menyarankan Anda mengambil tindakan berikut:

1. Periksa file proses. Jika bukan file sah, hentikan proses dan karantina file tersebut. Jika ini proses sah, hentikan proses tanpa memengaruhi bisnis normal.

2. Bersama dengan informasi peringatan lain di mesin ini, evaluasi secara komprehensif dampak potensial peristiwa penyusupan ini terhadap bisnis dan ambil langkah respons lainnya.

3. Coba analisis penyebab peristiwa penyusupan ini dan perbaiki kerentanan keamanan.

Pemuatan file pustaka anomali

Pemuatan file pustaka anomali.

Kunci registri anomali

Model deteksi menemukan item konfigurasi registri mencurigakan di server Anda. Malware sering memodifikasi konfigurasi registri kunci tertentu untuk berjalan secara persisten atau mengganggu perlindungan keamanan normal.

Eksekusi thread anomali

Eksekusi thread anomali.

Pembajakan file pustaka dasar sistem

Pembajakan file pustaka dasar sistem.

Perusakan gambar eksekusi proses

Perusakan gambar eksekusi proses.

Pemalsuan path proses

Pemalsuan path proses.

Pembajakan fungsi runtime proses

Pembajakan fungsi runtime proses.

Perilaku menyembunyikan proses

Perilaku menyembunyikan proses.

File konfigurasi terminal anomali di Linux

File konfigurasi terminal anomali di Linux.

Nama peringatan

Deskripsi

Perusakan file sistem

Model deteksi menemukan proses di server Anda yang mencoba memodifikasi atau mengganti file sistem. Ini mungkin penyerang yang mencoba menghindari deteksi, menyembunyikan backdoor, atau mencapai tujuan lain dengan mengganti file sistem. Segera konfirmasi apakah file sistem dalam peringatan di server Anda adalah file sistem asli.

Pemindahan file sistem

Model deteksi menemukan proses hulu di server Anda yang mencoba memindahkan file sistem. Ini mungkin penyerang yang mencoba menghindari beberapa logika deteksi dengan memindahkan file sistem yang dipantau oleh perangkat lunak keamanan selama penyusupan.

Perusakan mencurigakan file konfigurasi preload pustaka bersama Linux

Model deteksi menemukan bahwa file konfigurasi preload pustaka bersama di server Anda sedang dirusak secara mencurigakan.

Nama peringatan

Deskripsi

Perintah mencurigakan dieksekusi dengan memanggil API Kubernetes untuk masuk ke kontainer

Pusat Keamanan mendeteksi perilaku memanggil API Kubernetes untuk masuk ke kontainer dan mengeksekusi perintah mencurigakan, yang umum dalam serangan pergerakan lateral di berbagai skenario, seperti antar kontainer atau antara node dan kontainer. Ada juga kemungkinan ini adalah kebutuhan bisnis atau O&M normal.

Startup pod gambar berbahaya

Pod yang berisi gambar berbahaya terdeteksi memulai di kluster Kubernetes Anda, yang umum ketika gambar berisi program berbahaya seperti backdoor atau program penambangan.

Pergerakan lateral akun layanan Kubernetes

Model deteksi menemukan bahwa salah satu akun layanan Anda meminta izin di luar baseline historis atau memicu beberapa kegagalan autentikasi, yang biasanya terjadi ketika penyerang menyusup ke pod dan menggunakan kredensial akun layanan yang diperoleh dari server yang dikompromikan untuk menyerang server API. Segera selidiki.

Autentikasi sukses pengguna anonim Kubernetes

Peristiwa login anonim sukses terdeteksi. Tidak disarankan untuk mengizinkan pengguna anonim mengakses sumber daya penting di kluster bisnis. Risikonya sangat tinggi ketika kluster terpapar ke jaringan publik dan mengizinkan akses anonim. Ini umum ketika penyerang menggunakan autentikasi anonim untuk masuk dan mengendalikan server API Kubernetes untuk mengeluarkan tugas. Segera selidiki apakah operasi ini dipicu oleh pengguna tepercaya dan batasi izin akses pengguna anonim.

Akses anomali ke Secrets Kubernetes

Model deteksi menemukan bahwa Secrets sedang dienumerasi di kluster Kubernetes Anda, yang mungkin berarti penyerang mencuri informasi sensitif dari Secrets Kubernetes setelah kluster Anda dikompromikan. Segera selidiki apakah operasi ini dipicu oleh program atau administrator tepercaya.

Urutan operasi Kubernetes mencurigakan

Pusat Keamanan mendeteksi bahwa akun di kluster Kubernetes Anda mengeksekusi serangkaian perintah berisiko tinggi di luar baseline. Harap periksa apakah perintah ini dieksekusi oleh personel O&M tepercaya. Jika tidak, kluster Anda sangat mungkin telah dikompromikan oleh penyerang. Jika dikonfirmasi sebagai perilaku tepercaya, Anda dapat menambahkannya ke daftar putih untuk memfilter peringatan berikutnya untuk perilaku serupa.

Pengguna Kubernetes terikat ke peran administrator

Pusat Keamanan mendeteksi bahwa pengguna di kluster Kubernetes Anda sedang diikat ke peran sistem berhak tinggi (ClusterRole). Harap konfirmasi bahwa tindakan ini dipicu oleh personel O&M atau komponen sistem. Jika tidak, server Anda mungkin telah dikompromikan oleh penyerang yang menggunakan metode ini untuk meninggalkan akun backdoor. Jika Anda mengonfirmasi ini sebagai positif palsu, Anda dapat mengabaikan peringatan tersebut dengan menambahkannya ke daftar putih.

Dugaan serangan man-in-the-middle layanan Kubernetes (CVE-2020-8554)

Di kluster Kubernetes, pengguna dapat membuat layanan untuk membajak lalu lintas kluster dan meneruskannya ke IP eksternal apa pun untuk mencuri informasi. Pusat Keamanan mendeteksi bahwa ExternalIP dalam layanan yang dibuat di kluster Kubernetes Anda menentukan IP eksternal, yang cocok dengan karakteristik eksploitasi kerentanan serangan man-in-the-middle Kubernetes (CVE-2020-8554).

Pemasangan direktori sensitif node

Pusat Keamanan menemukan bahwa pod Anda memasang direktori atau file sensitif saat startup, yang menimbulkan risiko escape kontainer. Setelah pod dikompromikan, penyerang memiliki peluang untuk melarikan diri dari pod dan mengendalikan node dengan memasang file sensitif. Disarankan untuk meminimalkan konfigurasi pod yang memasang direktori host sensitif, seperti direktori root, direktori konfigurasi tugas terjadwal, dan direktori konfigurasi layanan sistem. Jika ini adalah kebutuhan bisnis yang diperlukan dengan risiko yang dapat dikendalikan, Anda dapat menambahkannya ke daftar putih dan mengabaikan peringatan ini.

Permintaan mencurigakan ke server API Kubernetes

Permintaan mencurigakan ke server API Kubernetes terdeteksi. Lihat detail peringatan untuk alasan anomali spesifiknya. Ada juga kemungkinan ini adalah operasi bisnis normal. Anda dapat fokus memeriksa IP sumber permintaan operasi, User Agent yang digunakan, sumber daya yang dioperasikan, dan pengguna yang memulai permintaan untuk menentukan apakah ini normal. Untuk melihat log permintaan lengkap server API Kubernetes, Anda dapat menggunakan bidang auditID di detail peringatan untuk mencari berdasarkan informasi log audit SLS Kubernetes di detail peringatan.

Pengguna kluster Kubernetes terikat ke peran berhak tinggi

Pengguna kluster Kubernetes terdeteksi diikat ke peran berhak tinggi. Hak istimewa tinggi mengacu pada izin untuk membaca dan mengoperasikan sumber daya penting di namespace atau seluruh kluster, seperti administrator kluster, membaca semua secrets di namespace, membuat pod dan login ke pod untuk mengeksekusi perintah, dan membuat peran berhak tinggi. Ketika penyerang mendapatkan kredensial pengguna berhak tinggi, mereka dapat menggunakan izin tersebut untuk pergerakan lateral atau eskalasi hak istimewa dalam kluster, akhirnya mencapai kendali seluruh kluster. Skenario serangan umum adalah ketika akun layanan aplikasi web diberikan hak istimewa berlebihan. Penyerang masuk ke pod melalui kerentanan aplikasi web, membaca dan menggunakan kredensial akun layanan untuk mengakses dan mengendalikan sumber daya kluster lainnya.

Pembuatan token anomali oleh akun layanan

Mendapatkan akun token biasanya diprakarsai oleh pengguna nyata kluster. Akun layanan adalah objek bawaan di Kubernetes yang terkait dengan namespace tertentu dan dapat digunakan oleh proses di pod untuk berinteraksi dengan layanan API Kubernetes. Ketika akun layanan mencoba mendapatkan token akun lain, eskalasi hak istimewa mungkin terjadi.

Akun layanan memodifikasi izin peran kluster sendiri

Serangkaian izin peran kluster yang dimiliki oleh akun layanan aplikasi umumnya tidak dimodifikasi oleh akun layanan itu sendiri setelah pembuatan. Oleh karena itu, ketika akun layanan meminta untuk memodifikasi izin peran kluster yang diikatnya, biasanya mewakili eskalasi hak istimewa.

Akun layanan memodifikasi peran kluster yang diikatnya

Akun layanan aplikasi biasanya tidak memodifikasi peran kluster yang diikatnya. Oleh karena itu, ketika akun layanan membuat dan mengikat perannya, biasanya mewakili eskalasi hak istimewa.

Akun layanan menyamar sebagai principal pengguna lain untuk meminta sumber daya

Akun layanan aplikasi biasanya tidak perlu menyamar sebagai principal pengguna lain untuk meminta sumber daya. Oleh karena itu, ketika akun layanan menyamar sebagai principal pengguna lain untuk membuat permintaan, eskalasi hak istimewa mungkin terjadi.

Membuat dan mengonfigurasi akun layanan untuk pod komponen sistem

Akun layanan komponen sistem kluster biasanya memiliki hak istimewa tinggi dan tidak boleh dirujuk oleh workload lain. Oleh karena itu, ketika akun layanan membuat pod yang dikonfigurasi dengan akun layanan komponen sistem, biasanya mewakili eskalasi hak istimewa.

Permintaan mencurigakan untuk menyelidiki set izinnya sendiri

Workload di kluster jarang memprakarsai permintaan untuk memeriksa izin akun layanan mereka sendiri. Oleh karena itu, ketika akun layanan meminta untuk mendapatkan set izin yang dimilikinya, mungkin menunjukkan bahwa akun layanan telah dikendalikan oleh penyerang.

Identitas node mendapatkan secret kluster

Sertifikat kubelet node kluster memiliki izin untuk mendapatkan secrets. Kemampuan ini dapat disalahgunakan oleh penyerang untuk mendapatkan sumber daya secret sensitif di kluster. Oleh karena itu, ketika identitas node meminta untuk mendapatkan secret, biasanya mewakili eskalasi hak istimewa.

Akun layanan membuat sumber daya proxy node untuk mengeksekusi perintah

Sumber daya proxy node dapat digunakan untuk mengeksekusi perintah di pod, tetapi workload bisnis di kluster umumnya tidak perlu menggunakan metode ini. Oleh karena itu, ketika akun layanan mengeksekusi perintah di pod sebagai sumber daya proxy node, biasanya mewakili eskalasi hak istimewa.

Akun layanan mencuri pod node lain

Taint adalah fitur penjadwalan Kubernetes yang digunakan untuk membatasi apakah pod dapat dijadwalkan ke node tertentu. Penyerang, setelah mengendalikan node, dapat menandai node selain yang dikompromikan sebagai tidak dapat dijadwalkan, menyebabkan pod target dijadwalkan ke node yang dikompromikan untuk lebih lanjut mendapatkan kredensialnya. Ketika layanan membuat taint untuk banyak node, eskalasi hak istimewa mungkin terjadi.

Akun layanan mengakses langsung port pendengaran kubelet

Port 10250 adalah port untuk komunikasi antara kubelet dan server API. Workload bisnis dalam kluster biasanya tidak menggunakan akun layanan untuk mengakses port ini. Ketika akun layanan mengakses langsung port pendengaran kubelet dan meminta sumber daya tertentu, biasanya mewakili eskalasi hak istimewa.

Akun layanan membuat kontainer sementara untuk masuk ke pod

Kontainer sementara adalah metode yang memungkinkan pengembang untuk men-debug pod yang sedang berjalan. Pengembang masuk ke namespace akun target dengan membuat kontainer sementara. Operasi semacam ini tidak boleh diprakarsai oleh akun layanan. Ketika akun layanan meminta untuk membuat kontainer sementara, biasanya berarti penyerang menggunakan identitas tersebut untuk mencoba masuk ke pod lain untuk eskalasi hak istimewa.

Nama peringatan

Deskripsi

Akun backdoor

Akun anomali terdeteksi di sistem. Penyerang atau program berbahaya mungkin membuat akun baru atau mengaktifkan akun tamu untuk mempertahankan akses. Jika ini bukan akun yang digunakan untuk kebutuhan bisnis normal, kami menyarankan Anda login ke host untuk menanganinya.

Nama peringatan

Deskripsi

File webshell ditemukan

Memberi skor tingkat ancaman berdasarkan perilaku file untuk mengidentifikasi file mencurigakan dengan fungsi dan fitur berbahaya. File-file ini mungkin ditanamkan oleh penyerang setelah penyusupan, tetapi juga bisa berupa file normal dengan kode mencurigakan atau file log (peringatan juga dapat dipicu jika log disimpan di path web). Administrator perlu mengonfirmasi legalitasnya.

Nama peringatan

Deskripsi

Eksploitasi kerentanan web

Eksploitasi kerentanan web.

Eksploitasi kerentanan host

Eksploitasi kerentanan host.

Dugaan escape melalui perusakan file

Pusat Keamanan mendeteksi tindakan membuka file penting dalam "mode tulis". Ini umum dalam skenario escape dari kontainer ke host dengan merusak file. Anda dapat fokus menyelidiki apakah proses, file yang dioperasikan, dan properti pembukaan file berasal dari operasi bisnis normal. Jika ini adalah operasi O&M atau fungsi bisnis normal, abaikan peringatan atau tandai sebagai positif palsu.

Eksploitasi kerentanan tipe TOCTOU

Pusat Keamanan mendeteksi perilaku eksploitasi kerentanan time-of-check-to-time-of-use (TOCTOU) yang dicurigakan. Lihat nomor kerentanan di detail peringatan. Jenis kerentanan ini umum digunakan untuk escape kontainer, eskalasi hak istimewa, dan lainnya. Kami menyarankan Anda memeriksa apakah perangkat lunak terkait berada dalam cakupan kerentanan dan segera perbaiki kerentanan tersebut. Ada juga kemungkinan kecil positif palsu. Harap tandai sebagai positif palsu atau tambahkan ke daftar putih.

Kontainer dimulai dengan memasang direktori host sensitif

Pusat Keamanan menemukan bahwa kontainer memiliki perilaku berisiko, seperti dimulai dalam mode istimewa atau memasang direktori atau file sensitif saat startup. Dalam skenario ini, penyerang memiliki peluang untuk melarikan diri ke host dengan mengeksploitasi konfigurasi berbahaya tersebut. Disarankan untuk tidak memulai dalam mode istimewa dan tidak mengonfigurasi pod untuk memasang direktori host sensitif, seperti direktori root, direktori konfigurasi tugas terjadwal, atau direktori konfigurasi layanan sistem.

Nama peringatan

Deskripsi

Upload file mencurigakan

Model deteksi menemukan lalu lintas upload file mencurigakan di lalu lintas server Anda, dan file mencurigakan terkait telah mendarat atau dimodifikasi di host. Harap buat penilaian lebih lanjut berdasarkan detail peringatan. Langkah investigasi yang disarankan adalah sebagai berikut: 1) Periksa adanya peringatan file webshell terkait. 2) Periksa apakah titik upload file dalam lalu lintas dapat dieksploitasi secara berbahaya. 3) Periksa apakah file di host adalah perilaku aktif yang diketahui seperti upload aktif administrator, pembuatan, modifikasi, pembaruan layanan web, atau backup. Jika ya, harap abaikan peringatan atau tambahkan daftar putih path. 4) Jika dikonfirmasi sebagai upload file berbahaya, tangani file berbahaya di mesin dan perkuat titik upload file. Daftar putih nama file adalah langkah penguatan yang disarankan.

Eksekusi perintah aplikasi web

Model deteksi menemukan lalu lintas serangan web berbahaya di lalu lintas server Anda, dan perintah yang sesuai dieksekusi di titik akhir. Ini berarti layanan Anda mungkin memiliki kerentanan yang telah dieksploitasi oleh penyerang. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Lalu lintas komunikasi pool penambangan

Model deteksi menemukan lalu lintas yang berkomunikasi dengan IP pool penambangan di server Anda. Server Anda mungkin telah dikompromikan oleh penyerang dan digunakan untuk penambangan.

Komunikasi proxy tunnel

Model deteksi menemukan lalu lintas komunikasi proxy tunnel mencurigakan di lalu lintas server Anda. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Lalu lintas reverse shell

Model deteksi menemukan lalu lintas reverse shell berbahaya di lalu lintas server Anda. Penyerang menggunakan metode ini untuk membangun koneksi jaringan balik dengan server mereka sendiri, melalui mana perintah arbitrer dapat dieksekusi. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Lalu lintas komunikasi backdoor

Model deteksi menemukan lalu lintas komunikasi backdoor berbahaya di lalu lintas server Anda. Penyerang menggunakan metode ini untuk membangun saluran kendali jarak jauh dengan server mereka sendiri. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Serangan deserialisasi Java

Model deteksi menemukan lalu lintas serangan deserialisasi Java berbahaya di lalu lintas server Anda, dan proses Java memiliki koneksi jaringan outbound mencurigakan atau telah mengeksekusi perintah mencurigakan. Ini berarti layanan Anda mungkin memiliki kerentanan yang telah dieksploitasi oleh penyerang. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Serangan DNS-log

Model deteksi menemukan lalu lintas serangan DNS-log berbahaya di lalu lintas server Anda, dan server mengakses domain DNS-log. Ini berarti layanan Anda mungkin memiliki kerentanan yang telah dieksploitasi oleh penyerang. Harap buat penilaian lebih lanjut berdasarkan detail peringatan.

Nama peringatan

Deskripsi

Panggilan sistem berisiko tinggi

Panggilan sistem utama yang umum digunakan dalam perilaku eskalasi hak istimewa dan escape yang mengeksploitasi kerentanan kernel.

Escape dengan mengeksploitasi kerentanan atau kesalahan konfigurasi

Umum terlihat ketika kontainer dimulai dengan hak istimewa tinggi atau memasang sistem file pseudo, yang memungkinkan penyerang menggunakan mekanisme sistem seperti core_pattern atau cgroup di dalam kontainer untuk melarikan diri.

Memodifikasi file konfigurasi pengguna host

Umum terlihat ketika kontainer dimulai dengan memasang file konfigurasi pengguna sistem seperti /etc/passwd atau direktori konfigurasi layanan SSH, yang memungkinkan penyerang mendapatkan hak istimewa pengguna node host dengan memodifikasi file tersebut dari dalam kontainer.

Melarikan diri dengan menulis ke direktori host berisiko tinggi

Umum terlihat ketika kontainer dimulai dengan memasang direktori tugas terjadwal sistem, seperti /etc/crontab, direktori tugas auto-start, seperti /etc/init.d, direktori tugas berbasis pemicu, seperti /etc/profile, atau direktori konfigurasi pod statis Kubernetes. Penyerang dapat menulis kode berbahaya ke direktori ini, yang kemudian dieksekusi secara otomatis oleh host untuk mendapatkan hak istimewa.

Menjalankan alat escape kontainer

Pusat Keamanan mendeteksi alat escape yang dimulai di dalam kontainer, yang umum ketika penyerang, setelah mengompromikan kontainer, mencoba memecah isolasi antara kontainer dan node host untuk mendapatkan kendali akses host.

Nama peringatan

Detail deteksi

Peluncuran program non-image

Pusat Keamanan mendeteksi startup program non-gambar. Ini umum ketika program yang dapat dieksekusi yang tidak termasuk dalam gambar asli, seperti Trojan backdoor, diinstal saat kontainer berjalan. Ada juga kemungkinan ini adalah kebutuhan instalasi bisnis normal. Harap tangani segera.

Pertahanan file

Pertahanan file.

Pemblokiran startup program non-gambar

Pusat Keamanan mendeteksi startup program non-gambar. Ini umum ketika program yang dapat dieksekusi yang tidak termasuk dalam gambar asli, seperti Trojan backdoor, diinstal saat kontainer berjalan. Ada juga kemungkinan ini adalah kebutuhan instalasi bisnis normal. Harap tangani segera.

Nama peringatan

Detail deteksi

Kluster memulai gambar berbahaya dari Internet

Kluster memulai gambar berbahaya dari Internet.

Memulai kluster dengan gambar yang tidak dipindai

Kluster dimulai tanpa pemindaian gambar.

Kluster memulai gambar dengan kerentanan

Kluster memulai gambar yang berisi kerentanan.

Kluster memulai gambar dengan file berbahaya

Kluster memulai gambar yang berisi file berbahaya.

Cluster memulai image yang gagal pemeriksaan baseline

Kluster memulai sebuah image yang gagal dalam pemeriksaan baseline.

Kluster memulai gambar dengan file sensitif

Kluster memulai gambar yang berisi file sensitif.

Kluster memulai gambar dengan instruksi build berisiko

Kluster memulai gambar yang berisi instruksi build berisiko.

Nama peringatan

Ikhtisar deteksi

Peristiwa kepercayaan komponen startup sistem

Mendeteksi status tepercaya instans ECS tepercaya dan menangani status anomali terkait. Untuk informasi selengkapnya, lihat Using Trusted Instances.

Nama peringatan

Deskripsi

DDoS

Serangan banjir DDoS.

Klien Pusat Keamanan offline secara anomali

Model deteksi menemukan bahwa proses utama klien Pusat Keamanan, AliYunDun, di server Anda offline dan tidak kembali online dalam periode tertentu, yang memicu peringatan. Ini bisa berupa fenomena sementara akibat ketidakstabilan jaringan, atau klien Pusat Keamanan dipaksa uninstall akibat serangan siber berbahaya. Harap login ke server untuk mengonfirmasi apakah proses klien Pusat Keamanan sedang berjalan. Jika tidak, harap segera mulai kembali.

Klien Pusat Keamanan di host non-Alibaba Cloud offline secara anomali

Model deteksi menemukan bahwa proses utama klien Pusat Keamanan, AliYunDun, di server Anda offline dan tidak kembali online dalam periode tertentu, yang memicu peringatan. Ini bisa berupa fenomena sementara akibat ketidakstabilan jaringan, atau klien Pusat Keamanan dipaksa uninstall akibat serangan siber berbahaya. Harap login ke server untuk mengonfirmasi apakah proses klien Pusat Keamanan sedang berjalan. Jika tidak, harap segera mulai kembali.