Reverse Shell

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Memunculkan shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer setelah penyusupan awal yang terbatas.

Deteksi Ancaman Cloud Run adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

1. Buka temuan Reverse Shell seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Biner program: jalur absolut proses yang dimulai dengan pengalihan aliran ke soket jarak jauh
     • Argumen: argumen yang diberikan saat biner proses dipanggil
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource dari resource Cloud Run yang terpengaruh
     • Nama lengkap project: project Google Cloud yang terpengaruh
   • Link terkait, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal

3. Di tab JSON, perhatikan kolom berikut:

   • resource:
     • project_display_name: nama project yang berisi aset.
   • sourceProperties:
     • Reverse_Shell_Stdin_Redirection_Dst_Ip: alamat IP jarak jauh koneksi
     • Reverse_Shell_Stdin_Redirection_Dst_Port: port jarak jauh
     • Reverse_Shell_Stdin_Redirection_Src_Ip: alamat IP lokal koneksi
     • Reverse_Shell_Stdin_Redirection_Src_Port: port lokal
     • Container_Image_Uri: nama image container yang sedang dieksekusi.

4. Cari temuan terkait yang terjadi pada waktu yang serupa untuk penampung yang terpengaruh. Temuan tersebut mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

5. Tinjau setelan penampung yang terpengaruh.

6. Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter dan Ingress Tool Transfer.
2. Periksa nilai hash SHA-256 untuk file biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.