Shell reverso

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um processo começou com o redirecionamento de stream para um soquete conectado remotamente. A geração de um shell conectado à rede pode permitir que um invasor execute ações arbitrárias após um comprometimento inicial limitado.

A detecção de ameaças do Cloud Run é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

  1. Abra a descoberta Reverse Shell, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

  2. Na guia Resumo, confira as informações nas seções abaixo.

    • O que foi detectado, especialmente os seguintes campos:
      • Binário do programa: o caminho absoluto do processo iniciado pelo redirecionamento do stream para um soquete remoto.
      • Argumentos: os argumentos fornecidos quando o binário do processo foi invocado.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso afetado do Cloud Run.
      • Nome completo do projeto: o projeto Google Cloud afetado
    • Links relacionados, principalmente os seguintes campos:
      • Indicador do VirusTotal: link para a página de análise do VirusTotal
  3. Na guia JSON, observe os campos a seguir:

    • resource:
      • project_display_name: o nome do projeto que contém o recurso.
    • sourceProperties:
      • Reverse_Shell_Stdin_Redirection_Dst_Ip: o endereço IP remoto da conexão;
      • Reverse_Shell_Stdin_Redirection_Dst_Port: a porta remota;
      • Reverse_Shell_Stdin_Redirection_Src_Ip: o endereço IP local da conexão;
      • Reverse_Shell_Stdin_Redirection_Src_Port: a porta local;
      • Container_Image_Uri: o nome da imagem do contêiner que está sendo executada.
  4. Procure descobertas relacionadas que ocorreram em um momento semelhante para o contêiner afetado. Essas descobertas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

  5. Revise as configurações do contêiner afetado.

  6. Verifique os registros desse contêiner.

Pesquisar métodos de ataque e resposta

  1. Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Intérprete de comandos e scripts e Transferência de ferramentas de entrada.
  2. Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
  3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir