命令與控制：偵測到隱寫術工具

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

系統偵測到某個程序使用 Unix 類似發行版本中常見的隱寫術工具，可能用於隱藏通訊內容。這種行為表示有人試圖在與外部實體交換的看似無害數位訊息中，隱藏指令和控制項 (C2) 流量或機密資料。對手通常會使用隱寫術規避網路監控，並降低惡意活動的顯眼程度。如果發現這些工具，表示有人蓄意模糊處理非法資料移轉行為。這項行為可能會導致進一步的入侵或機密資訊外洩。找出隱藏內容是準確評估相關風險的必要步驟。

Cloud Run Threat Detection 是這項發現的來源。

回應方式

如要回應這項發現，請按照下列步驟操作：

查看發現項目詳細資料

1. 按照「查看結果」一文的說明，開啟 Command and Control: Steganography Tool Detected 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，尤其是下列欄位：
     • 程式二進位檔：執行的二進位檔絕對路徑
     • 引數：在二進位檔執行期間傳遞的引數
   • 受影響的資源，尤其是下列欄位：
     • 完整資源名稱：受影響 Cloud Run 資源的完整資源名稱

3. 在「JSON」中，請注意下列欄位。

   • resource：
     • project_display_name：包含受影響 Cloud Run 資源的專案名稱
   • finding：
     • processes：
     • binary：
       • path：執行的二進位檔完整路徑。
     • args：執行二進位檔時提供的引數。 受影響的 Cloud Run 資源

4. 找出這個容器在類似時間發生的其他發現項目。 相關發現可能指出這項活動是惡意活動，而非未遵循最佳做法。

5. 查看受影響容器的設定。

6. 檢查受影響容器的記錄。

研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： 資料混淆：隱寫術。
2. 在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值，方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務，可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
3. 如要制定回應計畫，請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

實作回覆內容

如需回應建議，請參閱「回應 Cloud Run 威脅發現」。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅調查結果的服務。