暴力破解:SSH

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

检测主机上的 SSH 暴力破解能力。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Brute Force: SSH 发现结果。

  2. 在发现结果详细信息面板的摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:

      • 调用方 IP:发起攻击的 IP 地址。
      • 用户名:登录的账号。

    • 受影响的资源

    • 相关链接,尤其是以下字段:

      • Cloud Logging URI:指向 Logging 条目的链接。
      • MITRE ATT&CK 方法:指向 MITRE ATT&CK 文档的链接。
      • 相关发现结果:指向任何相关发现结果的链接。

  3. 点击 JSON 标签页。

  4. 在 JSON 中,请注意以下字段。

    • sourceProperties
      • evidence
        • sourceLogId:用于标识日志条目的项目 ID 和时间戳
        • projectId:包含发现结果的项目
      • properties
        • attempts
        • Attempts:登录尝试次数
          • username:登录的账号
          • vmName:虚拟机的名称
          • authResult:SSH 身份验证结果

第 2 步:查看权限和设置

  1. 在 Google Cloud 控制台中,前往信息中心

    转到信息中心

  2. 选择 projectId 中指定的项目。

  3. 导航到资源卡片,然后点击 Compute Engine

  4. 点击与 vmName 中的名称和可用区匹配的虚拟机实例。查看该实例的详细信息,包括网络和访问设置。

  5. 在导航窗格中,点击 VPC 网络,然后点击防火墙。 移除或禁用端口 22 上的过于宽松的防火墙规则。

第 3 步:检查日志

  1. 在 Google Cloud 控制台中,点击 Cloud Logging URI 中的链接,以前往 Logs Explorer
  2. 在加载的页面上,使用以下过滤条件查找与发现结果详情摘要标签页中主账号电子邮件地址行上列出的 IP 地址相关的 VPC 流日志:
    • logName="projects/projectId/logs/syslog"
    • labels."compute.googleapis.com/resource_name"="vmName"

第 4 步:研究攻击和响应方法

  1. 查看此发现结果类型的 MITRE ATT&CK 框架条目:有效账号:本地账号
  2. 点击发现结果详情摘要标签页中相关发现结果行上的相关发现结果的链接,以查看相关发现结果。 相关发现结果属于同一实例和网络上的同一发现结果类型。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

第 5 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  • 与成功尝试暴力破解的项目的所有者联系。
  • 调查可能被破解的实例,并移除所有发现的恶意软件。为了帮助您检测和移除,请使用端点检测和响应解决方案。
  • 考虑停用对虚拟机的 SSH 访问权限。如需了解如何停用 SSH 密钥,请参阅限制虚拟机的 SSH 密钥。此步骤可能会中断对虚拟机的授权访问,因此请考虑您的组织需求,然后再继续。
  • 仅将 SSH 身份验证与已获授权的密钥结合使用。
  • 通过更新防火墙规则或使用 Google Cloud Armor 阻止恶意 IP 地址。您可以在 Security Command Center 集成式服务页面上启用 Cloud Armor。如果信息量很大,Cloud Armor 的费用可能会非常高。如需了解详情,请参阅 Cloud Armor 价格指南

后续步骤