Fuerza bruta: SSH

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Detección de ataques de fuerza bruta de SSH en un host.

Event Threat Detection es la fuente de esta detección.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

  1. Abre un Brute Force: SSH tal como se indica en el artículo Revisar resultados.

  2. En la pestaña Resumen del panel de detalles de la detección, consulta la información de las siguientes secciones:

    • Qué se ha detectado, especialmente los siguientes campos:

      • IP de la persona que llama: la dirección IP que ha iniciado el ataque.
      • Nombre de usuario: la cuenta con la que se ha iniciado sesión.

    • Recurso afectado

    • Enlaces relacionados, especialmente los siguientes campos:

      • URI de Cloud Logging: enlace a las entradas de registro.
      • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: enlaces a los hallazgos relacionados.

  3. Haz clic en la pestaña JSON.

  4. En el JSON, anota los siguientes campos.

    • sourceProperties:
      • evidence:
        • sourceLogId: el ID del proyecto y la marca de tiempo para identificar la entrada de registro
        • projectId: el proyecto que contiene el hallazgo
      • properties:
        • attempts:
        • Attempts: número de intentos de inicio de sesión.
          • username: la cuenta con la que se ha iniciado sesión
          • vmName: nombre de la máquina virtual
          • authResult: el resultado de la autenticación SSH

Paso 2: Revisa los permisos y la configuración

  1. En la Google Cloud consola, ve al Panel de control.

    Ir al panel de control

  2. Selecciona el proyecto especificado en projectId.

  3. Ve a la tarjeta Recursos y haz clic en Compute Engine.

  4. Haz clic en la instancia de VM que coincida con el nombre y la zona de vmName. Revisa los detalles de la instancia, incluida la configuración de red y de acceso.

  5. En el panel de navegación, haga clic en Red VPC y, a continuación, en Firewall. Elimina o inhabilita las reglas de cortafuegos demasiado permisivas en el puerto 22.

Paso 3: Consulta los registros

  1. En la Google Cloud consola, ve a Explorador de registros haciendo clic en el enlace de URI de Cloud Logging.
  2. En la página que se carga, busca los registros de flujo de VPC relacionados con la dirección IP que aparece en la fila Correo principal de la pestaña Resumen de los detalles de la detección. Para ello, usa el siguiente filtro:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

Paso 4: Investiga los métodos de ataque y respuesta

  1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de resultado: Cuentas válidas: cuentas locales.
  2. Para consultar los hallazgos relacionados, haz clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y de la misma instancia y red.
  3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

  • Ponte en contacto con el propietario del proyecto en el que se ha producido el intento de fuerza bruta.
  • Investiga la instancia que puede estar en peligro y elimina el malware que encuentres. Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.
  • Considera la posibilidad de inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta Restringir claves SSH de máquinas virtuales. Este paso podría interrumpir el acceso autorizado a la máquina virtual, así que ten en cuenta las necesidades de tu organización antes de continuar.
  • Usa la autenticación SSH solo con claves autorizadas.
  • Bloquea las direcciones IP maliciosas actualizando las reglas del cortafuegos o usando Google Cloud Armor. Puedes habilitar Cloud Armor en la página Servicios integrados de Security Command Center. En función de la cantidad de información, los costes de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.

Siguientes pasos