蠻力攻擊:SSH

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

偵測到主機上的 SSH 暴力攻擊成功。

Event Threat Detection 是這項發現的來源。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Brute Force: SSH 發現項目。

  2. 在調查結果詳細資料面板的「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,尤其是下列欄位:

      • 呼叫端 IP:發動攻擊的 IP 位址。
      • 使用者名稱:登入的帳戶。

    • 受影響的資源

    • 相關連結,尤其是下列欄位:

      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。

  3. 按一下「JSON」分頁標籤。

  4. 請注意 JSON 中的下列欄位。

    • sourceProperties
      • evidence
        • sourceLogId:專案 ID 和時間戳記,用於識別記錄項目
        • projectId:包含發現項目的專案
      • properties
        • attempts
        • Attempts:嘗試登入次數
          • username:登入的帳戶
          • vmName:虛擬機器的名稱
          • authResult:SSH 驗證結果

步驟 2:檢查權限和設定

  1. 前往 Google Cloud 控制台的「資訊主頁」

    前往資訊主頁

  2. 選取 projectId 中指定的專案。

  3. 前往「資源」資訊卡,然後點選「Compute Engine」

  4. 按一下與 vmName 中名稱和區域相符的 VM 執行個體。查看執行個體詳細資料,包括網路和存取權設定。

  5. 在導覽窗格中,依序點選「VPC Network」(虛擬私有雲網路) 和「Firewall」(防火牆)。 移除或停用通訊埠 22 上過於寬鬆的防火牆規則。

步驟 3:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」(記錄檔探索工具),方法是點選「Cloud Logging URI」(Cloud Logging URI) 中的連結。
  2. 在載入的頁面中,使用下列篩選器,找出與「摘要」分頁中「主體電子郵件」列所列 IP 位址相關的虛擬私有雲流量記錄:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

步驟 4:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 有效帳戶:本機帳戶
  2. 如要查看相關發現項目,請在發現項目詳細資料的「摘要」分頁中,點選「相關發現項目」列的「相關發現項目」連結。 相關發現項目是指類型相同,且屬於相同執行個體和網路的發現項目。
  3. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與專案擁有者聯絡,瞭解暴力破解嘗試是否成功。
  • 調查可能遭入侵的執行個體,並移除發現的任何惡意軟體。如要協助偵測及移除,請使用端點偵測及回應解決方案。
  • 建議停用 VM 的 SSH 存取權。如要瞭解如何停用 SSH 金鑰,請參閱「限制虛擬機使用 SSH 金鑰」。這個步驟可能會中斷 VM 的授權存取權,因此請先考量貴機構的需求,再繼續操作。
  • 請只使用 授權金鑰進行 SSH 驗證。
  • 您可以更新防火牆規則或使用 Google Cloud Armor,封鎖惡意 IP 位址。您可以在 Security Command Center 的「整合服務」頁面啟用 Cloud Armor。視資訊量而定,Cloud Armor 的費用可能相當高昂。詳情請參閱 Cloud Armor 定價指南

後續步驟