反向殼層

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

程序已啟動,並將串流重新導向至遠端連線的通訊端。產生連網殼層後,攻擊者就能在初步入侵後執行任意動作。

偵測服務

Cloud Run 威脅偵測

回應方式

如要回應這項發現,請按照下列步驟操作:

查看發現項目詳細資料

  1. 按照「查看結果」一文的指示,開啟 Reverse Shell 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 程式二進位檔:以串流重新導向至遠端通訊端啟動的程序絕對路徑
      • 引數:叫用程序二進位檔時提供的引數
    • 受影響的資源,尤其是下列欄位:
      • 完整資源名稱:受影響 Cloud Run 資源的完整資源名稱
      • 完整專案名稱:受影響的 Google Cloud 專案
    • 相關連結,尤其是下列欄位:
      • VirusTotal 指標:連結至 VirusTotal 分析頁面

  3. 在「JSON」分頁中,請注意下列欄位:

    • resource
      • project_display_name:包含資產的專案名稱。
    • sourceProperties
      • Reverse_Shell_Stdin_Redirection_Dst_Ip:連線的遠端 IP 位址
      • Reverse_Shell_Stdin_Redirection_Dst_Port:遠端通訊埠
      • Reverse_Shell_Stdin_Redirection_Src_Ip:連線的本機 IP 位址
      • Reverse_Shell_Stdin_Redirection_Src_Port:本機通訊埠
      • Container_Image_Uri:正在執行的容器映像檔名稱。

  4. 找出受影響容器在類似時間發生的相關發現項目。這類發現可能表示該活動是惡意行為,而非未遵循最佳做法。

  5. 查看受影響容器的設定。

  6. 檢查受影響容器的記錄。

研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目:「命令和指令碼解譯器」和「傳入工具轉移」
  2. VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

實作回覆內容

如需回應建議,請參閱「回應 Cloud Run 威脅發現」。

後續步驟