ביצוע: קובץ בינארי זדוני שונה הופעל

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה במאמר אינדקס ממצאי האיומים.

סקירה כללית

תהליך הפעיל קובץ בינארי שנכלל בעומס העבודה המקורי של הסוכן. הקובץ הבינארי שונה בזמן הריצה וזוהה כקובץ זדוני על סמך מודיעין איומי סייבר.

בדרך כלל, התוקפים מתקינים כלי ניצול ותוכנות זדוניות אחרי הפריצה הראשונית.

זיהוי איומים ב-Agent Platform הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

  1. פותחים את הממצא Execution: Modified Malicious Binary Executed לפי ההוראות במאמר בדיקת ממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.

  2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

    • מה זוהה, במיוחד השדות הבאים:
      • קובץ בינארי של התוכנית: הנתיב המוחלט של הקובץ הבינארי ששונה
      • ארגומנטים: הארגומנטים שסופקו כשבוצעה קריאה לקובץ הבינארי ששונה
    • מקור המידע שהושפע, במיוחד השדות הבאים:
    • קישורים רלוונטיים, במיוחד השדה הבא:
      • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal
  3. מחפשים ממצאים קשורים שהתרחשו בזמן דומה עבור סוכן ה-AI שהושפע. ממצאים כאלה עשויים להצביע על כך שהפעילות הייתה זדונית, ולא על כך שלא פעלתם לפי השיטות המומלצות.

  4. בודקים את ההגדרות של סוכן ה-AI המושפע.

  5. בודקים את היומנים של סוכן ה-AI המושפע.

מחקר של שיטות התקפה ותגובה

  1. כדאי לעיין ברשומות של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Ingress Tool Transfer (העברת כלי כניסה) ו- Native API (ממשק API מקורי).
  2. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
  3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים של AI.

המאמרים הבאים