Shell Turunan yang Tidak Terduga

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Deteksi Ancaman Agent Engine mengamati proses yang secara tidak terduga memunculkan proses shell anak. Peristiwa ini mungkin menunjukkan bahwa penyerang sedang mencoba menyalahgunakan perintah dan skrip shell.

Deteksi Ancaman Agent Engine adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Unexpected Child Shell seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Proses induk: proses yang secara tidak terduga membuat proses shell turunan
     • Proses turunan: proses shell turunan
     • Argumen: argumen yang diberikan ke biner proses shell turunan
     • Variabel lingkungan: variabel lingkungan dari biner proses shell turunan
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource agen AI yang terpengaruh (resource ReasoningEngine)
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal

3. Di tab JSON, perhatikan kolom berikut:

   • processes: array yang berisi semua proses yang terkait dengan temuan. Array ini mencakup proses shell turunan dan proses induk.
   • resource:
     • project_display_name: nama project yang berisi aset.

4. Cari temuan terkait yang terjadi pada waktu yang serupa untuk agen AI yang terpengaruh. Temuan tersebut mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan kegagalan dalam mengikuti praktik terbaik.

5. Tinjau setelan agen AI yang terpengaruh.

6. Periksa log untuk agen AI yang terpengaruh.

Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter: Unix Shell.
2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan analisis VirusTotal dan riset MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman AI.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.