Força bruta: SSH

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Deteção de força bruta bem-sucedida de SSH num anfitrião.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Brute Force: SSHdescoberta, conforme indicado em Rever descobertas.

2. No separador Resumo do painel de detalhes da deteção, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:

     • IP do autor da chamada: o endereço IP que lançou o ataque.
     • Nome de utilizador: a conta que iniciou sessão.

   • Recurso afetado

   • Links relacionados, especialmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. Clique no separador JSON.

4. No JSON, tenha em atenção os seguintes campos.

   • sourceProperties:
     • evidence:
       • sourceLogId: o ID do projeto e a data/hora para identificar a entrada do registo
       • projectId: o projeto que contém a descoberta
     • properties:
       • attempts:
       • Attempts: o número de tentativas de início de sessão
         • username: a conta que iniciou sessão
         • vmName: o nome da máquina virtual
         • authResult: o resultado da autenticação SSH

Passo 2: reveja as autorizações e as definições

1. Na Google Cloud consola, aceda ao painel de controlo.

   Aceda ao painel de controlo

2. Selecione o projeto especificado em projectId.

3. Navegue para o cartão Recursos e clique em Compute Engine.

4. Clique na instância de VM que corresponde ao nome e à zona em vmName. Reveja os detalhes da instância, incluindo as definições de rede e de acesso.

5. No painel de navegação, clique em Rede VPC e, de seguida, em Firewall. Remova ou desative regras de firewall excessivamente permissivas na porta 22.

Passo 3: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos clicando no link em URI do Cloud Logging.
2. Na página carregada, encontre os registos de fluxo da VPC relacionados com o endereço IP indicado na linha Email principal no separador Resumo dos detalhes da deteção através do seguinte filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Passo 4: pesquise métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Contas válidas: contas locais.
2. Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes da conclusão. As conclusões relacionadas são do mesmo tipo de conclusão e da mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto com a tentativa de força bruta bem-sucedida.
• Investigue a instância potencialmente comprometida e remova qualquer software malicioso descoberto. Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.
• Considere desativar o acesso SSH à VM. Para obter informações sobre como desativar chaves SSH, consulte o artigo Restrinja as chaves SSH das VMs. Este passo pode interromper o acesso autorizado à VM. Por isso, considere as necessidades da sua organização antes de continuar.
• Use apenas a autenticação SSH com chaves autorizadas.
• Bloqueie os endereços IP maliciosos atualizando as regras da firewall ou usando o Google Cloud Armor. Pode ativar o Cloud Armor na página Serviços integrados do Security Command Center. Consoante a quantidade de informações, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.