Reverse Shell

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

תהליך שהתחיל בהפניה של הזרם לשקע מרוחק שמחובר. יצירת מעטפת שמחוברת לרשת יכולה לאפשר לתוקף לבצע פעולות שרירותיות אחרי פשרה ראשונית מוגבלת.

Agent Engine Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

1. פותחים את הממצא Reverse Shell כמו שמתואר במאמר בדיקת הממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.

2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

   • מה זוהה, במיוחד השדות הבאים:
     • קובץ בינארי של התוכנית: הנתיב המוחלט של התהליך שהתחיל עם הפניית זרם לשקע מרוחק
     • ארגומנטים: הארגומנטים שסופקו כשבוצעה קריאה לקובץ הבינארי של התהליך
   • מקור המידע שהושפע, במיוחד השדות הבאים:
     • שם המשאב המלא: שם המשאב המלא של סוכן ה-AI המושפע (משאב ReasoningEngine)
     • השם המלא של הפרויקט: הפרויקט שהושפע Google Cloud
   • קישורים רלוונטיים, במיוחד השדות הבאים:
     • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal

3. בכרטיסייה JSON, שימו לב לשדות הבאים:

   • resource:
     • ‫project_display_name: שם הפרויקט שמכיל את הנכס.
   • sourceProperties:
     • ‫Reverse_Shell_Stdin_Redirection_Dst_Ip: כתובת ה-IP המרוחקת של החיבור
     • ‫Reverse_Shell_Stdin_Redirection_Dst_Port: היציאה המרוחקת
     • ‫Reverse_Shell_Stdin_Redirection_Src_Ip: כתובת ה-IP המקומית של החיבור
     • Reverse_Shell_Stdin_Redirection_Src_Port: היציאה המקומית

4. חפשו ממצאים קשורים שהתרחשו בזמן דומה עבור סוכן ה-AI שהושפע. ממצאים כאלה עשויים להצביע על כך שהפעילות הייתה זדונית, ולא על כך שלא פעלתם לפי השיטות המומלצות.

5. בודקים את ההגדרות של סוכן ה-AI המושפע.

6. בודקים את היומנים של סוכן ה-AI המושפע.

מחקר של שיטות התקפה ותגובה

1. בודקים את הערכים במסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Command and Scripting Interpreter ו-Ingress Tool Transfer.
2. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים של AI.

המאמרים הבאים

• איך עובדים עם ממצאי איומים ב-Security Command Center
• אפשר לעיין באינדקס של ממצאי איומים.
• איך בודקים ממצא דרך מסוף Google Cloud .
• מידע על השירותים שמפיקים ממצאים לגבי איומים