Ataques de fuerza bruta: SSH

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Detección de fuerza bruta SSH exitosa en un host

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Brute Force: SSH, como se indica en Revisa los hallazgos.

2. En la pestaña Resumen del panel de detalles del hallazgo, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:

     • IP del llamante: Es la dirección IP que inició el ataque.
     • Nombre de usuario: Es la cuenta que accedió.

   • Recurso afectado

   • Vínculos relacionados, en especial los siguientes campos:

     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados

3. Haz clic en la pestaña JSON.

4. En el JSON, ten en cuenta los siguientes campos.

   • sourceProperties:
     • evidence:
       • sourceLogId: el ID del proyecto y la marca de tiempo para identificar la entrada de registro
       • projectId: el proyecto que contiene el hallazgo
     • properties:
       • attempts:
       • Attempts: la cantidad de intentos de acceso
         • username: la cuenta con la que accediste
         • vmName: Es el nombre de la máquina virtual.
         • authResult: el resultado de la autenticación de SSH

Paso 2: Revisa los permisos y la configuración

1. En la consola de Google Cloud , ve al Panel.

   Ir al panel

2. Selecciona el proyecto que se especifica en projectId.

3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincide con el nombre y la zona en vmName. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haz clic en Red de VPC y, luego, en Firewall. Quita o inhabilita las reglas de firewall cos demasiados permisos en el puerto 22.

Paso 3: Comprueba los registros

1. En la consola de Google Cloud , haz clic en el vínculo en el URI de Cloud Logging para ir al Explorador de registros.
2. En la página que se carga, busca los registros del flujo de VPC relacionados con la dirección IP que se indica en la fila Correo electrónico principal de la pestaña Resumen de los detalles del hallazgo con el siguiente filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa la entrada de framework de MITRE ATT&CK de este tipo de hallazgo: Cuentas válidas: Cuentas locales.
2. Haz clic en el vínculo de Resultados relacionados en la fila Resultados relacionados de la pestaña Resumen de los detalles del resultado para revisar los resultados relacionados. Los hallazgos relacionados tienen el mismo tipo de resultado, y la misma instancia y red.
3. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

• Comunícate con el propietario del proyecto en el que se aplicó fuerza bruta de forma exitosa.
• Investiga la instancia potencialmente comprometida y quita cualquier software malicioso que se haya descubierto. Para ayudar con la detección y la eliminación, usa una solución de detección y respuesta de extremos.
• Considera inhabilitar el acceso SSH a la VM. Para obtener información sobre cómo inhabilitar las claves SSH, consulta Restringe las claves SSH de las VMs. Este paso puede interrumpir el acceso autorizado a la VM, por lo que debes considerar las necesidades de tu organización antes de continuar.
• Usa la autenticación SSH solo con claves autorizadas.
• Bloquea las reglas de firewall o usa Google Cloud Armor para bloquear las direcciones IP maliciosas. Puedes habilitar Cloud Armor en la página Servicios integrados de Security Command Center. Según la cantidad de información, los costos de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.