מתקפת Brute Force: SSH

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

זיהוי של ניסיון מוצלח לפריצה בכוח של SSH במארח.

Event Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

  1. פותחים ממצא Brute Force: SSH כמו שמתואר במאמר בדיקת ממצאים.

  2. בכרטיסייה Summary (סיכום) בחלונית הפרטים של הממצא, בודקים את המידע בקטעים הבאים:

    • מה זוהה, במיוחד השדות הבאים:

      • כתובת ה-IP של המתקשר: כתובת ה-IP שממנה בוצעה המתקפה.
      • שם משתמש: החשבון שאליו התבצעה הכניסה.

    • מקור המידע שהושפע

    • קישורים רלוונטיים, במיוחד השדות הבאים:

      • Cloud Logging URI: קישור לרשומות ב-Logging.
      • שיטת MITRE ATT&CK: קישור למסמך של MITRE ATT&CK.
      • ממצאים קשורים: קישורים לממצאים קשורים.

  3. לוחצים על הכרטיסייה JSON.

  4. שימו לב לשדות הבאים ב-JSON.

    • sourceProperties:
      • evidence:
        • sourceLogId: מזהה הפרויקט וחותמת הזמן לזיהוי רשומת היומן
        • projectId: הפרויקט שמכיל את הממצא
      • properties:
        • attempts:
        • Attempts: מספר ניסיונות ההתחברות
          • username: החשבון שהתבצעה בו התחברות
          • vmName: השם של המכונה הווירטואלית
          • authResult: תוצאת האימות של SSH

שלב 2: בדיקת ההרשאות וההגדרות

  1. נכנסים לדף Dashboard במסוף Google Cloud .

    כניסה ללוח הבקרה

  2. בוחרים את הפרויקט שצוין ב-projectId.

  3. עוברים לכרטיס משאבים ולוחצים על Compute Engine.

  4. לוחצים על המכונה הווירטואלית שתואמת לשם ולאזור ב-vmName. בודקים את פרטי המופע, כולל הגדרות הרשת והגישה.

  5. בחלונית הניווט, לוחצים על VPC Network (רשת VPC) ואז על Firewall (חומת אש). הסרה או השבתה של כללים מתירנים מדי בחומת האש ביציאה 22.

שלב 3: בדיקת היומנים

  1. במסוף Google Cloud , לוחצים על הקישור ב-Cloud Logging URI כדי לעבור אל Logs Explorer.
  2. בדף שנטען, מחפשים יומני זרימה של VPC שקשורים לכתובת ה-IP שמופיעה בשורה Principal email בכרטיסייה Summary בפרטי הממצא, באמצעות המסנן הבא:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

שלב 4: מחקר על שיטות תקיפה ותגובה

  1. מעיינים בערך של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: חשבונות תקפים: חשבונות מקומיים.
  2. כדי לעיין בממצאים קשורים, לוחצים על הקישור ממצאים קשורים בשורה ממצאים קשורים בכרטיסייה סיכום של פרטי הממצא. ממצאים קשורים הם ממצאים מאותו סוג, שמתייחסים לאותו מופע ולאותה רשת.
  3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.

שלב 5: הטמעת התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

  • פונים לבעלים של הפרויקט עם ניסיון הכניסה הכוחני המוצלח.
  • בודקים את המופע שעלול להיות בסיכון ומסירים כל תוכנה זדונית שנמצאה. כדי לסייע בזיהוי ובהסרה, כדאי להשתמש בפתרון לזיהוי נקודות קצה ותגובה.
  • כדאי להשבית את הגישה למכונה הווירטואלית באמצעות SSH. מידע על השבתת מפתחות SSH זמין במאמר הגבלת מפתחות SSH ממכונות וירטואליות. השלב הזה עלול לשבש את הגישה המורשית למכונה הווירטואלית, לכן כדאי לשקול את הצרכים של הארגון לפני שממשיכים.
  • השתמשו באימות SSH רק עם מפתחות מורשים.

  • כדי לחסום את כתובות ה-IP הזדוניות, מעדכנים את כללי חומת האש או משתמשים ב-Cloud Armor. העלויות של Cloud Armor יכולות להיות משמעותיות, בהתאם לנפח הנתונים. מידע נוסף מפורט במדריך התמחור של Cloud Armor.

    כדי להפעיל את Cloud Armor במסוף Google Cloud , נכנסים לדף Integrated Services.

    כניסה לדף Integrated Services

המאמרים הבאים