Ataques de fuerza bruta: SSH

En este documento, se describe un tipo de hallazgo de amenazas de Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando identifican una posible amenaza en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

Detección de fuerza bruta SSH exitosa en un host

Event Threat Detection es la fuente de este hallazgo.

Cómo se debe responder

Para responder a este hallazgo, sigue los pasos que se indican a continuación:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Brute Force: SSH, como se indica en Revisa los hallazgos.

2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las secciones siguientes:

   • Qué se detectó, en especial, los campos siguientes:

     • IP del llamador: Es la dirección IP que inició el ataque.
     • Nombre de usuario: Es la cuenta con la que accediste.

   • Recurso afectado

   • Vínculos relacionados, en especial los campos siguientes:

     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.

3. Haz clic en la pestaña JSON.

4. En el archivo JSON, observa los campos que se indican a continuación.

   • sourceProperties:
     • evidence:
       • sourceLogId: el ID del proyecto y la marca de tiempo para identificar la entrada de registro
       • projectId: el proyecto que contiene el hallazgo
     • properties:
       • attempts:
       • Attempts: la cantidad de intentos de acceso
         • username: la cuenta con la que accediste
         • vmName: Es el nombre de la máquina virtual.
         • authResult: el resultado de la autenticación de SSH

Paso 2: Revisa los permisos y la configuración

1. En la Google Cloud consola de, ve al Panel.

   Ir al panel

2. Elige el proyecto que se especifica en projectId.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincide con el nombre y la zona en vmName. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haz clic en Red de VPC y, luego, en Firewall. Quita o inhabilita las reglas de firewall cos demasiados permisos en el puerto 22.

Paso 3: Comprueba los registros

1. En la Google Cloud consola, accede al Explorador de registros y haz clic en el vínculo del campo URI de Cloud Logging.
2. En la página que se carga, busca los registros del flujo de VPC relacionados con la dirección IP que aparece en la fila Correo electrónico principal de la pestaña Resumen de los detalles del hallazgo con el siguiente filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada de framework de MITRE ATT&CK de este tipo de hallazgo: Cuentas válidas: Cuentas locales.
2. Haz clic en el vínculo de Hallazgos relacionados en la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo para revisar los hallazgos relacionados. Los hallazgos relacionados son del mismo tipo y tienen la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 5: Implementa la respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas durante la investigación para determinar la mejor manera de resolver los hallazgos.

• Comunícate con el propietario del proyecto en el que se aplicó fuerza bruta de forma exitosa.
• Investiga la instancia potencialmente comprometida y quita cualquier software malicioso que se haya descubierto. Para ayudar con la detección y la eliminación, usa una solución de detección y respuesta de extremos.
• Considera inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta Restringe las claves SSH de las VMs. Este paso puede interrumpir el acceso autorizado a la VM, por lo que debes considerar las necesidades de tu organización antes de continuar.
• Usa la autenticación SSH solo con claves autorizadas.

• Bloquea las direcciones IP maliciosas con las actualizaciones de las reglas de firewall o con Cloud Armor. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.

  Para habilitar Cloud Armor en la consola de Google Cloud , ve a la página Servicios integrados.

  Ir a Servicios integrados

JSON de ejemplo del hallazgo

El siguiente es un ejemplo del JSON del hallazgo.

{
    "finding": {
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "state": "ACTIVE",
      "category": "Brute Force: SSH",
      "sourceProperties": {
        "evidence": [
          {
            "sourceLogId": {
              "projectId": "PROJECT_ID",
              "timestamp": {
                "nanos": 0.0,
                "seconds": "65"
              },
              "insertId": "INSERT_ID",
              "resourceContainer": "projects/PROJECT_ID"
            }
          }
        ],
        "properties": {
          "projectId": "PROJECT_ID",
          "zone": "us-west1-a",
          "instanceId": "INSTANCE_ID",
          "attempts": [
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "SUCCESS"
            },
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "FAIL"
            },
            {
              "sourceIp": "SOURCE_IP_ADDRESS",
              "username": "PROJECT_ID",
              "vmName": "INSTANCE_ID",
              "authResult": "FAIL"
            }
          ]
        },
        "detectionPriority": "HIGH",
        "sourceId": {
          "projectNumber": "PROJECT_NUMBER",
          "customerOrganizationNumber": "ORGANIZATION_ID"
        },
        "contextUris": {
          "mitreUri": {
            "displayName": "MITRE Link",
            "url": "https://attack.mitre.org/techniques/T1078/003/"
          }
        },
        "detectionCategory": {
          "technique": "brute_force",
          "indicator": "flow_log",
          "ruleName": "ssh_brute_force"
        },
        "affectedResources": [
          {
            "gcpResourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER"
          }
        ]
      },
      "severity": "HIGH",
      "eventTime": "1970-01-01T00:00:00Z",
      "createTime": "1970-01-01T00:00:00Z"
    }
 }

¿Qué sigue?

• Aprende a trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de hallazgos de amenazas.
• Aprende a revisar un hallazgo con la consola de Google Cloud .
• Obtén información sobre los servicios que generan hallazgos de amenazas.