Script malicioso executado

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um modelo de machine learning identificou um código Bash executado como mal-intencionado. Os invasores podem usar o Bash para transferir ferramentas e executar comandos sem binários.

O Agent Engine Threat Detection é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

1. Abra a descoberta Malicious Script Executed, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seções abaixo.

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: detalhes sobre o interpretador que invocou o script.
     • Script: caminho absoluto do nome do script no disco. Esse atributo só aparece para scripts gravados em disco, não para execução de scripts literais, por exemplo, bash -c
     • Argumentos: os argumentos fornecidos ao invocar o script.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do agente de IA afetado (um recurso ReasoningEngine)
   • Links relacionados, principalmente o seguinte campo:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal

3. Na guia JSON, observe os campos a seguir:

   • finding:
     • processes:
     • script:
       • contents: conteúdo do script executado, que pode ser truncado por motivos de desempenho; isso pode ajudar na sua investigação
       • sha256: o hash SHA-256 de script.contents
   • resource:
     • project_display_name: o nome do projeto que contém o recurso.

4. Procure descobertas relacionadas que ocorreram em um momento semelhante para o agente de IA afetado. Por exemplo, se o script descartar um binário, verifique se há descobertas relacionadas ao binário. Essas descobertas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

5. Revise as configurações do agente de IA afetado.

6. Verifique os registros do agente de IA afetado.

Pesquisar métodos de ataque e resposta

1. Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Intérprete de comandos e scripts e Transferência de ferramentas de entrada.
2. Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.