Eksekusi: Socat Reverse Shell Terdeteksi

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

socat telah digunakan untuk membuat koneksi ke shell jarak jauh. Membuat shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer.

Agent Platform Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk merespons temuan ini, lakukan hal berikut:

Meninjau detail temuan

  1. Buka temuan Execution: Socat Reverse Shell Detected seperti yang diarahkan di Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

  2. Di tab Ringkasan, tinjau informasi di bagian berikut.

    • Yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang dieksekusi
      • Argumen: argumen yang diteruskan selama eksekusi biner
    • Resource yang terpengaruh, terutama kolom berikut:

  3. Di tab JSON, perhatikan kolom berikut.

    • resource:
      • project_display_name: nama project yang berisi resource Agent Runtime yang terpengaruh
    • finding:
      • processes:
        • binary:
        • path: jalur lengkap biner yang dieksekusi
      • args: argumen yang diberikan saat biner dieksekusi

  4. Identifikasi temuan lain yang terjadi pada waktu yang sama untuk agen AI yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.

  5. Tinjau setelan agen AI yang terpengaruh.

  6. Periksa log untuk agen AI yang terpengaruh.

Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Eksekusi.
  2. Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan riset MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Agent Runtime findings.

Langkah berikutnya