Comando e controle: ferramenta de esteganografia detectada

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um processo foi detectado usando ferramentas de esteganografia comumente encontradas em distribuições do tipo Unix para ocultar a comunicação. Esse comportamento sugere uma tentativa de ocultar o tráfego de comando e controle (C2) ou dados sensíveis em mensagens digitais aparentemente inofensivas trocadas com uma entidade externa. Os adversários costumam usar esteganografia para evitar o monitoramento de rede e tornar a atividade mal-intencionada menos evidente. A presença dessas ferramentas sugere uma tentativa deliberada de ofuscar a transferência de dados ilícita. Esse comportamento pode levar a mais comprometimento ou exfiltração de informações sensíveis. Identificar o conteúdo oculto é essencial para avaliar com precisão os riscos envolvidos.

A detecção de ameaças do Cloud Run é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

1. Abra uma descoberta Command and Control: Steganography Tool Detected, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seções abaixo.

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: o caminho absoluto do binário executado
     • Argumentos: os argumentos transmitidos durante a execução do binário.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso afetado do Cloud Run.

3. No JSON, observe os seguintes campos.

   • resource:
     • project_display_name: o nome do projeto que contém o recurso afetado do Cloud Run.
   • finding:
     • processes:
     • binary:
       • path: o caminho completo do binário executado.
     • args: os argumentos fornecidos ao executar o binário do recurso afetado do Cloud Run.

4. Identifique outras descobertas que ocorreram em um momento semelhante para esse contêiner. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

5. Revise as configurações do contêiner afetado.

6. Verifique os registros desse contêiner.

Pesquisar métodos de ataque e resposta

1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Ofuscação de dados: esteganografia.
2. Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.