Command and Control: Alat Steganografi Terdeteksi

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Terdeteksi proses yang menggunakan alat steganografi yang umumnya ditemukan di distribusi mirip Unix untuk berpotensi menyembunyikan komunikasi. Perilaku ini menunjukkan upaya untuk menyembunyikan traffic perintah dan kontrol (C2) atau data sensitif dalam pesan digital yang tampaknya tidak berbahaya yang dikirimkan ke entitas eksternal. Penyerang sering menggunakan steganografi untuk menghindari pemantauan jaringan dan membuat aktivitas berbahaya tidak terlalu mencolok. Keberadaan alat ini menunjukkan upaya yang disengaja untuk meng-obfuscate transfer data terlarang. Perilaku ini dapat menyebabkan kompromi lebih lanjut atau pemindahan informasi sensitif secara tidak sah. Mengidentifikasi konten tersembunyi sangat penting untuk menilai risiko yang terlibat secara akurat.

Deteksi Ancaman Cloud Run adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Command and Control: Steganography Tool Detected seperti yang diarahkan di Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut biner yang dieksekusi
     • Argumen: argumen yang diteruskan selama eksekusi biner
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari resource Cloud Run yang terpengaruh

3. Di JSON, perhatikan kolom berikut.

   • resource:
     • project_display_name: nama project yang berisi resource Cloud Run yang terpengaruh
   • finding:
     • processes:
     • binary:
       • path: jalur lengkap biner yang dieksekusi.
     • args: argumen yang diberikan saat menjalankan biner. dari resource Cloud Run yang terpengaruh

4. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung ini. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

5. Tinjau setelan penampung yang terpengaruh.

6. Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pengaburan Data: Steganografi.
2. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan analisis VirusTotal dan riset MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.