Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Eksekusi: Kemungkinan Eksekusi Perintah Jarak Jauh Terdeteksi

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Proses terdeteksi memunculkan perintah UNIX umum melalui soket jaringan, yang berpotensi meniru shell terbalik. Perilaku ini menunjukkan upaya untuk membuat akses jarak jauh yang tidak sah ke sistem, sehingga memberi penyerang kemampuan untuk mengeksekusi perintah arbitrer seolah-olah mereka berinteraksi langsung dengan mesin yang disusupi. Penyerang sering kali menggunakan reverse shell untuk melewati batasan firewall dan mendapatkan kontrol persisten atas target. Deteksi eksekusi perintah yang dimulai melalui soket menandakan risiko keamanan yang signifikan, karena memungkinkan berbagai aktivitas berbahaya, termasuk pemindahan data yang tidak sah, pergerakan lateral, dan eksploitasi lebih lanjut, sehingga menjadikannya temuan penting yang memerlukan penyelidikan segera untuk mengidentifikasi sumber koneksi dan tindakan yang dilakukan.

Agent Platform Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

Buka temuan Execution: Possible Remote Command Execution Detected seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.
Di tab Ringkasan, tinjau informasi di bagian berikut.
- Apa yang terdeteksi, terutama kolom berikut:
  - Biner program: jalur absolut biner yang dieksekusi
  - Argumen: argumen yang diteruskan selama eksekusi biner
- Resource yang terpengaruh, terutama kolom berikut:
  - Nama lengkap resource: nama lengkap resource dari resource Agent Runtime yang terpengaruh
Di tab JSON, perhatikan kolom berikut.
- resource:
  - project_display_name: nama project yang berisi resource Agent Runtime yang terpengaruh
- finding:
  - processes:
    - binary:
    - path: jalur lengkap biner yang dieksekusi
  - args: argumen yang diberikan saat biner dieksekusi
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk agen AI yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.
Tinjau setelan agen AI yang terpengaruh.
Periksa log untuk agen AI yang terpengaruh.

Meneliti metode serangan dan respons

Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter.
Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Agent Runtime.

Langkah berikutnya

Pelajari cara menangani temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui konsol Google Cloud .
Pelajari layanan yang menghasilkan temuan ancaman.