Ringkasan Agent Platform Threat Detection

Program yang diidentifikasi sebagai alat steganografi telah dijalankan, yang menandakan kemungkinan upaya untuk menyembunyikan komunikasi atau transfer data.

Penyerang dapat menggunakan teknik steganografi untuk menyematkan instruksi perintah dan kontrol (C2) berbahaya atau data yang dieksfiltrasi dalam file digital yang tampaknya tidak berbahaya, dengan tujuan menghindari pemantauan dan deteksi keamanan standar. Mengidentifikasi penggunaan alat semacam itu sangat penting untuk mengungkap aktivitas berbahaya yang tersembunyi.

Perintah dijalankan untuk menelusuri Google Cloud kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung.

Penyerang dapat menggunakan kredensial Google Cloud yang dicuri untuk mendapatkan akses tidak sah ke data atau resource sensitif dalam lingkungan Google Cloud yang ditargetkan.

Perintah dijalankan untuk menelusuri kunci keamanan GPG.

Penyerang dapat menggunakan kunci keamanan GPG yang dicuri untuk mendapatkan akses tidak sah ke komunikasi atau file terenkripsi.

Perintah dijalankan untuk menelusuri kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung, yang menunjukkan potensi upaya untuk mengumpulkan data autentikasi.

Penyerang sering kali mencari file kredensial untuk mendapatkan akses tidak sah ke sistem, mengeskalasikan hak istimewa, atau bergerak secara lateral dalam lingkungan. Mendeteksi aktivitas semacam itu sangat penting untuk mencegah pelanggaran keamanan.

Proses yang dijalankan berisi argumen yang merupakan file ELF (Executable and Linkable Format).

Mendeteksi eksekusi file ELF yang dienkode menandakan bahwa penyerang mungkin sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam file ELF.

Proses yang berisi argumen yang merupakan skrip python berenkode base64- dieksekusi.

Jika eksekusi skrip python yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip Python.

Proses yang berisi argumen yang merupakan skrip shell berenkode base64 telah dieksekusi.

Jika eksekusi skrip shell yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip shell.

Proses telah dimulai untuk meluncurkan alat compiler kode dalam lingkungan container, yang menunjukkan potensi upaya untuk membuat atau memodifikasi kode yang dapat dieksekusi dalam konteks terisolasi.

Penyerang dapat menggunakan compiler kode dalam penampung untuk mengembangkan payload berbahaya, menyuntikkan kode ke dalam biner yang ada, atau membuat alat untuk melewati kontrol keamanan, semuanya saat beroperasi di lingkungan yang kurang diperiksa untuk menghindari deteksi pada sistem host.

Proses menjalankan biner yang diidentifikasi oleh intelijen ancaman sebagai berbahaya. Biner ini bukan bagian dari beban kerja agentik asli.

Peristiwa ini sangat menunjukkan bahwa penyerang telah mengontrol workload dan menjalankan software berbahaya.

Proses memuat library yang diidentifikasi oleh intelijen ancaman sebagai berbahaya. Library ini bukan bagian dari beban kerja agentik asli.

Peristiwa ini menunjukkan bahwa penyerang kemungkinan telah mengontrol beban kerja dan menjalankan software berbahaya.

Proses menjalankan biner yang diidentifikasi oleh intelijen ancaman sebagai berbahaya. Biner ini adalah bagian dari beban kerja agentik asli.

Peristiwa ini mungkin menunjukkan bahwa penyerang sedang men-deploy workload berbahaya. Misalnya, aktor mungkin telah mendapatkan kontrol atas pipeline build yang sah dan menyuntikkan biner berbahaya ke dalam beban kerja agentik.

Proses yang berjalan di dalam container mencoba melewati isolasi container dengan menggunakan teknik atau biner eksploitasi yang diketahui, yang diidentifikasi oleh kecerdasan ancaman sebagai potensi ancaman. Penyusupan yang berhasil dapat memungkinkan penyerang mengakses sistem host dan berpotensi membahayakan seluruh lingkungan.

Tindakan ini menunjukkan bahwa penyerang sedang mengeksploitasi kerentanan untuk mendapatkan akses tidak sah ke sistem host atau infrastruktur yang lebih luas.

Proses dijalankan menggunakan deskriptor file dalam memori.

Proses yang diluncurkan dari file dalam memori dapat menunjukkan bahwa penyerang sedang mencoba melewati metode deteksi lain untuk mengeksekusi kode berbahaya.

Proses menjalankan alat serangan khusus Kubernetes, yang diidentifikasi oleh intelijen ancaman sebagai potensi ancaman.

Tindakan ini menunjukkan bahwa penyerang telah mendapatkan akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes.

Proses menjalankan alat pengintaian lokal yang biasanya bukan bagian dari beban kerja agen. Informasi ancaman mengidentifikasi alat ini sebagai potensi ancaman.

Peristiwa ini menunjukkan bahwa penyerang sedang mencoba mengumpulkan informasi sistem internal, seperti memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem.

Model machine learning mengidentifikasi kode Python yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Python untuk mendownload alat atau file ke lingkungan yang terkompromi dan menjalankan perintah tanpa menggunakan biner.

Detektor menggunakan pemrosesan bahasa alami (NLP) untuk menganalisis konten kode Python. Karena pendekatan ini tidak didasarkan pada pola, detektor dapat mengidentifikasi kode Python berbahaya yang sudah dikenal dan baru.

Proses menjalankan biner yang diidentifikasi oleh intelijen ancaman sebagai berbahaya. Biner ini adalah bagian dari beban kerja agentik asli, tetapi dimodifikasi saat runtime.

Peristiwa ini menunjukkan bahwa penyerang mungkin mengontrol beban kerja dan menjalankan software berbahaya.

Proses memuat library yang diidentifikasi oleh intelijen ancaman sebagai berbahaya. Library ini adalah bagian dari beban kerja agentik asli, tetapi dimodifikasi saat runtime.

Peristiwa ini menunjukkan bahwa penyerang memiliki kontrol atas beban kerja dan menjalankan software berbahaya.

Model machine learning mengidentifikasi kode Bash yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mendownload alat atau file ke lingkungan yang terkompromi dan menjalankan perintah tanpa menggunakan biner.

Detektor menggunakan NLP untuk menganalisis konten kode Bash. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Bash berbahaya yang sudah dikenal dan baru.

Deteksi Ancaman Platform Agen mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan.

Detektor membandingkan URL ini dengan daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika Anda yakin bahwa Google salah mengklasifikasikan URL sebagai situs phishing atau malware, laporkan masalah tersebut di Melaporkan Data yang Salah.

Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Detektor mencari stdin yang terikat ke soket jarak jauh.

Reverse shell memungkinkan penyerang berkomunikasi dari workload yang disusupi ke mesin yang dikontrol oleh penyerang. Penyerang kemudian dapat memerintah dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet.

Proses yang biasanya tidak memanggil shell tiba-tiba memunculkan proses shell.

Detektor memantau eksekusi proses dan menghasilkan temuan saat proses induk yang diketahui memunculkan shell secara tidak terduga.

Netcat, utilitas jaringan serbaguna, dieksekusi dalam lingkungan container, yang berpotensi mengindikasikan upaya untuk membuat akses jarak jauh yang tidak sah atau memindahkan data.

Penggunaan Netcat di lingkungan yang di-container mungkin menandakan upaya penyerang untuk membuat shell terbalik, memungkinkan pergerakan lateral, atau mengeksekusi perintah arbitrer, yang dapat membahayakan integritas sistem.

Aturan ini mendeteksi proses foomatic-rip yang menjalankan program shell umum, yang mungkin menunjukkan bahwa penyerang telah mengeksploitasi CVE-2024-47177. foomatic-rip adalah bagian dari OpenPrinting CUPS, layanan pencetakan open source yang merupakan bagian dari banyak distribusi Linux. Sebagian besar image container menonaktifkan atau menghapus layanan pencetakan ini. Jika deteksi ini terjadi, evaluasi apakah ini adalah perilaku yang diinginkan atau nonaktifkan layanan segera.

Proses terdeteksi memunculkan perintah UNIX umum melalui koneksi soket jaringan, yang menunjukkan potensi upaya untuk membuat kemampuan eksekusi perintah jarak jauh yang tidak sah.

Penyerang sering kali menggunakan teknik yang meniru reverse shell untuk mendapatkan kontrol interaktif atas sistem yang dibobol, sehingga mereka dapat mengeksekusi perintah arbitrer dari jarak jauh dan melewati langkah-langkah keamanan jaringan standar seperti batasan firewall. Mendeteksi eksekusi perintah melalui soket adalah indikator kuat akses jarak jauh berbahaya.

Program dieksekusi dengan variabel lingkungan proxy HTTP yang tidak diizinkan. Hal ini dapat mengindikasikan upaya untuk melewati kontrol keamanan, mengalihkan traffic untuk tujuan berbahaya, atau mengekstrak data melalui saluran yang tidak sah.

Penyerang dapat mengonfigurasi proxy HTTP yang tidak diizinkan untuk mencegat informasi sensitif, merutekan traffic melalui server berbahaya, atau membuat saluran komunikasi rahasia. Mendeteksi eksekusi program dengan variabel lingkungan ini sangat penting untuk menjaga keamanan jaringan dan mencegah pelanggaran data.

Perintah socat telah digunakan untuk membuat reverse shell.

Aturan ini mendeteksi eksekusi socat untuk membuat shell terbalik dengan mengalihkan deskriptor file stdin, stdout, dan stderr. Ini adalah teknik umum yang digunakan oleh penyerang untuk mendapatkan akses jarak jauh ke sistem yang telah disusupi.

OpenSSL telah dieksekusi untuk memuat objek bersama kustom.

Penyerang dapat memuat library kustom dan mengganti library yang ada yang digunakan oleh OpenSSL untuk menjalankan kode berbahaya. Penggunaannya dalam produksi tidak umum dan harus segera diselidiki.

Eksekusi alat penyalinan file jarak jauh terdeteksi dalam container, yang menunjukkan potensi eksfiltrasi data, pergerakan lateral, atau deployment payload berbahaya.

Penyerang sering menggunakan alat ini untuk mentransfer data sensitif ke luar penampung, bergerak secara lateral di dalam jaringan untuk menyusupi sistem lain, atau memasukkan malware untuk melakukan aktivitas berbahaya lebih lanjut. Mendeteksi penggunaan alat penyalinan file jarak jauh sangat penting untuk mencegah kebocoran data, akses tidak sah, dan kompromi lebih lanjut pada penampung dan berpotensi pada sistem host.

Perintah dijalankan dengan argumen yang diketahui berpotensi merusak, seperti upaya untuk menghapus file sistem penting atau mengubah konfigurasi terkait sandi.

Penyerang dapat mengeluarkan perintah baris perintah berbahaya untuk menyebabkan ketidakstabilan sistem, mencegah pemulihan dengan menghapus file penting, atau mendapatkan akses tidak sah dengan memanipulasi kredensial pengguna. Mendeteksi pola perintah spesifik ini sangat penting untuk mencegah dampak signifikan pada sistem.

Proses terdeteksi melakukan operasi penghapusan data massal, yang mungkin mengindikasikan upaya untuk menghapus bukti, mengganggu layanan, atau mengeksekusi serangan penghapusan data dalam lingkungan penampung.

Penyerang dapat menghapus data dalam jumlah besar untuk menyamarkan jejak mereka, mensabotase operasi, atau mempersiapkan deployment ransomware. Mendeteksi aktivitas tersebut membantu mengidentifikasi potensi ancaman sebelum terjadi kehilangan data penting.

Terdeteksi proses yang berkomunikasi melalui protokol Stratum, yang umumnya digunakan oleh software penambangan mata uang kripto. Aktivitas ini menunjukkan potensi operasi penambangan tidak sah dalam lingkungan container.

Penyerang sering kali men-deploy penambang mata uang kripto untuk mengeksploitasi resource sistem demi keuntungan finansial, yang menyebabkan penurunan performa, peningkatan biaya operasional, dan potensi risiko keamanan. Mendeteksi aktivitas tersebut membantu memitigasi penyalahgunaan resource dan akses tidak sah.

sudo telah dieksekusi dengan argumen yang mencoba meningkatkan hak istimewa.

Deteksi ini memberi tahu upaya untuk mengeksploitasi CVE-2019-14287, yang memungkinkan eskalasi hak istimewa dengan menyalahgunakan perintah sudo. Versi sudo sebelum v1.8.28 memiliki eksploitasi yang memungkinkan pengguna non-root mendapatkan hak istimewa root.

Pengguna non-root telah menjalankan pkexec dengan variabel lingkungan yang mencoba meningkatkan hak istimewa.

Aturan ini mendeteksi upaya untuk mengeksploitasi kerentanan eskalasi hak istimewa (CVE-2021-4034) di pkexec Polkit. Dengan menjalankan kode yang dibuat khusus, pengguna non-root dapat menggunakan kelemahan ini untuk mendapatkan hak istimewa root pada sistem yang terkompromi.

Pengguna non-root telah menjalankan sudo atau sudoedit dengan pola argumen yang berupaya melakukan eskalasi hak istimewa.

Mendeteksi upaya untuk mengeksploitasi kerentanan yang memengaruhi sudo versi 1.9.5p2 dan yang lebih lama. Mengeksekusi sudo atau sudoedit dengan argumen tertentu, termasuk yang diakhiri dengan satu karakter garis miring terbalik, sebagai pengguna yang tidak memiliki hak istimewa dapat meningkatkan hak istimewa pengguna menjadi hak istimewa pengguna root.