Força bruta: SSH

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Detecção da força bruta do SSH em um host

A Detecção de ameaças a eventos é a origem desta descoberta.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Brute Force: SSH, conforme direcionado em Como verificar descobertas.

2. Na guia Resumo do painel de detalhes da descoberta, revise as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:

     • IP do autor da chamada: é o endereço IP que iniciou o ataque.
     • Nome de usuário: a conta que fez login.

   • Recurso afetado

   • Links relacionados, principalmente os seguintes campos:

     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.

3. Clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • sourceProperties:
     • evidence:
       • sourceLogId: o ID do projeto e o carimbo de data/hora para identificar a entrada de registro
       • projectId: o projeto que contém a descoberta;
     • properties:
       • attempts:
       • Attempts: o número de tentativas de login;
         • username: a conta que fez login;
         • vmName: o nome da instância da máquina virtual
         • authResult: o resultado da autenticação SSH;

Etapa 2: verificar as permissões e configurações

1. No console Google Cloud , acesse o Painel.

   Ir para o Painel

2. Selecione o projeto especificado em projectId.

3. Acesse o card Recursos e clique em Compute Engine.

4. Clique na instância de VM que corresponde ao nome e à zona em vmName. Verifique os detalhes da instância, incluindo as configurações de rede e acesso.

5. No painel de navegação, clique em Rede VPC e em Firewall. Remova ou desative regras de firewall excessivamente permissivas na porta 22.

Etapa 3: verificar os registros

1. No console Google Cloud , acesse o Explorador de registros clicando no link em URI do Cloud Logging.
2. Na página carregada, localize os registros de fluxo de VPC relacionados ao endereço IP listado na linha E-mail principal na guia Resumo da descoberta usando o seguinte filtro:
   • logName="projects/projectId/logs/syslog"
   • labels."compute.googleapis.com/resource_name"="vmName"

Etapa 4: pesquisar métodos de ataque e resposta

1. Verifique a entrada do framework do MITRE ATT&CK em busca deste tipo de descoberta: Contas válidas: contas locais.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto pertence com a tentativa de força bruta bem-sucedida.
• Investigue a instância possivelmente comprometida e remova qualquer malware descoberto. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.
• Considere desativar o acesso SSH à VM. Para saber mais sobre como desativar chaves SSH, consulte Restringir chaves SSH de VMs. Essa etapa pode interromper o acesso autorizado à VM. Portanto, considere as necessidades da organização antes de continuar.
• Use a autenticação SSH apenas com chaves autorizadas.
• Bloqueie os endereços IP maliciosos atualizando regras de firewall ou usando o Google Cloud Armor. Ative o Cloud Armor na página Serviços integrados do Security Command Center. Dependendo da quantidade de informações, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.