AWS EC2 Instance Victim to Metadata DNS Rebind Attack
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur
<  Back to rules search

AWS EC2 Instance Victim to Metadata DNS Rebind Attack

guardduty

Classification:

attack

Tactic:

Technique:

Set up the guardduty integration.

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Overview

Goal

Detect when an EC2 instance makes a DNS request and resolves to the AWS metadata IP address (169.254.169.254).

Strategy

This rule lets you monitor this GuardDuty integration finding:

Triage & Response

  1. Determine which process made the DNS request. The DNS request can be found in the samples.
  2. Ensure the process is not a victim of an SSRF attack to steal the AWS EC2 Instance profile’s STS credentials.
  3. If the STS credentials are compromised: