執行作業:偵測到可能的遠端指令執行作業

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱威脅發現項目索引

總覽

系統偵測到程序透過網路通訊端產生常見的 UNIX 指令,可能是在模擬反向殼層。這種行為表示有人試圖建立未經授權的系統遠端存取權,讓攻擊者能夠執行任意指令,就像直接與遭入侵的電腦互動一樣。對手經常利用反向殼層繞過防火牆限制,持續控制目標。偵測到透過通訊端啟動的指令執行作業,代表存在重大安全風險,因為這類作業可能導致各種惡意活動,包括資料竊取、橫向移動和進一步的攻擊行為,因此這項發現至關重要,需要立即展開調查,找出連線來源和執行的動作。

Agent Platform Threat Detection 是這項發現項目的來源。

回應方式

如要回應這項發現項目,請按照下列步驟操作:

查看發現項目詳細資料

  1. 按照「查看結果」一文中的指示,開啟 Execution: Possible Remote Command Execution Detected 發現項目。 查看「摘要」和「JSON」分頁中的詳細資料。

  2. 在「摘要」分頁中,查看下列各節的資訊。

    • 偵測到的內容,特別是下列欄位:
      • 程式二進位檔:執行的二進位檔絕對路徑
      • 引數:在二進位檔執行期間傳遞的引數
    • 受影響的資源,尤其是下列欄位:

  3. 在「JSON」分頁中,請注意下列欄位。

    • resource
      • project_display_name:包含受影響 Agent Runtime 資源的專案名稱
    • finding
      • processes
        • binary
        • path:執行的二進位檔完整路徑
      • args:執行二進位檔時提供的引數

  4. 找出受影響 AI 代理在類似時間發生的其他發現項目。相關發現可能指出這項活動是惡意活動,而非未遵循最佳做法。

  5. 檢查受影響 AI 代理程式的設定。

  6. 查看受影響 AI 代理程式的記錄。

研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 框架項目:「指令和編寫指令碼解譯器」
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

實作回覆內容

如需回應建議,請參閱「回應 Agent Runtime 威脅發現」。

後續步驟