A Deteção de ameaças do Cloud Run é um serviço integrado do Security Command Center que monitoriza continuamente o estado dos recursos do Cloud Run suportados para detetar os ataques de tempo de execução mais comuns. Se a Deteção de ameaças do Cloud Run detetar um ataque, gera uma descoberta no Security Command Center praticamente em tempo real.
Os detetores de tempo de execução da Deteção de Ameaças do Cloud Run monitorizam os recursos do Cloud Run quanto a bibliotecas e ficheiros binários suspeitos, e usam o processamento de linguagem natural (PNL) para detetar código Bash e Python malicioso.
Além disso, os detetores do plano de controlo estão disponíveis através da Deteção de ameaças de eventos. Estes detetores monitorizam o fluxo do Cloud Logging da sua organização ou projetos para detetar potenciais ataques ao plano de controlo dos seus recursos do Cloud Run.
Recursos suportados
A Deteção de ameaças do Cloud Run monitoriza os seguintes recursos:
Ambientes de execução suportados
Os ambientes de execução suportados diferem para os detetores de tempo de execução e os detetores do plano de controlo.
Ambientes de execução suportados para detetores de tempo de execução
Os detetores de tempo de execução da Deteção de ameaças do Cloud Run só suportam recursos do Cloud Run que são executados no ambiente de execução de segunda geração. Considere o seguinte antes de ativar a Deteção de ameaças do Cloud Run:
Quando ativa a Deteção de ameaças do Cloud Run, não pode criar um serviço ou uma revisão de serviço do Cloud Run que seja executado no ambiente de execução de primeira geração. O serviço do Cloud Run tem de usar o ambiente de execução de segunda geração. Recomendamos que teste as suas cargas de trabalho no ambiente de execução de segunda geração antes de ativar a Cloud Run Threat Detection.
Para ativar a deteção de ameaças em tempo de execução para um serviço, implemente uma revisão que defina o ambiente de execução do serviço para a segunda geração ou o ambiente de execução predefinido.
Ambientes de execução suportados para detetores do plano de controlo
Os detetores do plano de controlo suportam ambientes de execução de primeira e segunda geração.
Como funciona a deteção de ameaças em tempo de execução da Deteção de ameaças do Cloud Run
Quando ativa a Deteção de ameaças do Cloud Run, esta recolhe telemetria dos recursos do Cloud Run suportados para analisar processos, scripts e bibliotecas que possam indicar um ataque de tempo de execução. Segue-se o caminho de execução quando são detetados eventos:
- A Deteção de ameaças do Cloud Run usa um processo de monitorização para recolher informações de contentores e eventos durante toda a duração de uma carga de trabalho do Cloud Run.
A Deteção de ameaças do Cloud Run analisa as informações de eventos recolhidas para determinar se um evento é indicativo de um incidente. Usa PNL para analisar scripts Bash e Python em busca de código malicioso.
Se a Deteção de ameaças do Cloud Run identificar um incidente, comunica-o como uma descoberta no Security Command Center.
Se a Deteção de ameaças do Cloud Run não identificar um incidente, não são armazenadas informações.
Todos os dados recolhidos são temporários e não são armazenados de forma persistente.
Para obter informações sobre como rever as conclusões da Deteção de ameaças do Cloud Run na Google Cloud consola, consulte o artigo Reveja as conclusões.
Problemas conhecidos
- Se o processo de monitorização parar prematuramente numa instância em execução do seu serviço ou tarefa do Cloud Run, o processo de monitorização não é reiniciado. A instância deixa de enviar informações de telemetria para a Deteção de ameaças do Cloud Run. Os registos da Deteção de ameaças do Cloud Run estão ausentes dos registos da instância. Não existe nenhum indicador de que um processo de monitorização tenha parado.
Detetores
Esta secção lista os detetores de tempo de execução e plano de controlo disponíveis. Adicionamos regularmente novos detetores à medida que surgem novas ameaças na nuvem.
Detetores de tempo de execução
A Deteção de ameaças do Cloud Run inclui os seguintes detetores de tempo de execução:
| Nome a apresentar | Nome da API | Descrição |
|---|---|---|
| Comando e controlo: ferramenta de esteganografia detetada | CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED |
Foi executado um programa identificado como uma ferramenta de esteganografia, que se encontra frequentemente em ambientes semelhantes ao Unix, o que indica uma potencial tentativa de ocultar a comunicação ou a transferência de dados. Os atacantes podem usar técnicas esteganográficas para incorporar instruções de comando e controlo (C2) maliciosas ou dados roubados em ficheiros digitais aparentemente benignos, com o objetivo de evitar a monitorização e a deteção de segurança padrão. A identificação da utilização destas ferramentas é crucial para descobrir atividade maliciosa oculta. |
| Acesso a credenciais: encontrar Google Cloud credenciais | CLOUD_RUN_FIND_GCP_CREDENTIALS |
Foi executado um comando para pesquisar Google Cloud chaves privadas, palavras-passe ou outras credenciais confidenciais no ambiente do contentor. Um atacante pode usar credenciais roubadas para obter acesso ilegítimo a dados ou recursos confidenciais no ambiente Google Cloud visado. Google Cloud |
| Acesso a credenciais: reconhecimento de chaves GPG | CLOUD_RUN_GPG_KEY_RECONNAISSANCE |
Foi executado um comando para pesquisar chaves de segurança GPG. Um atacante pode usar chaves de segurança GPG roubadas para obter acesso não autorizado a comunicações ou ficheiros encriptados. |
| Acesso a credenciais: pesquisar chaves privadas ou palavras-passe | CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Foi executado um comando para pesquisar chaves privadas, palavras-passe ou outras credenciais sensíveis no ambiente do contentor, o que indica uma potencial tentativa de recolher dados de autenticação. Os atacantes procuram frequentemente ficheiros de credenciais para obter acesso não autorizado aos sistemas, aumentar os privilégios ou mover-se lateralmente no ambiente. A deteção desta atividade é fundamental para evitar violações de segurança. |
| Evasão de defesa: linha de comandos de ficheiro ELF Base64 | CLOUD_RUN_BASE64_ELF_FILE_CMDLINE |
Foi executado um processo que contém um argumento que é um ficheiro ELF (formato executável e associável). Se for detetada uma execução de ficheiro ELF codificado, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num ficheiro ELF. |
| Defense Evasion: Base64 Encoded Python Script Executed | CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Foi executado um processo que contém um argumento que é um script Python codificado em base64. Se for detetada a execução de um script Python codificado, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num script Python. |
| Evasão de defesa: script de shell codificado em Base64 executado | CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Foi executado um processo que contém um argumento que é um script de shell codificado em base64. Se for detetada uma execução de script de shell codificado, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num script de shell. |
| Defense Evasion: Launch Code Compiler Tool In Container | CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Foi iniciado um processo para lançar uma ferramenta de compilação de código no ambiente do contentor, o que indica uma potencial tentativa de criar ou modificar código executável num contexto isolado. Os atacantes podem usar compiladores de código em contentores para desenvolver payloads maliciosos, injetar código em ficheiros binários existentes ou criar ferramentas para contornar os controlos de segurança, tudo isto enquanto operam num ambiente menos analisado para evitar a deteção no sistema anfitrião. |
| Execução: Added Malicious Binary Executed | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso adicionado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Execução: Added Malicious Library Loaded | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa adicionada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Execução: binário malicioso incorporado executado | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso incorporado, é um sinal de que o atacante está a implementar contentores maliciosos. Podem ter obtido o controlo de um repositório de imagens legítimo ou de uma pipeline de compilação de contentores e injetado um ficheiro binário malicioso na imagem do contentor. |
| Execução: fuga do contentor | CLOUD_RUN_CONTAINER_ESCAPE |
Foi executado um processo no contentor que tentou sair do isolamento do contentor, usando técnicas de saída ou ficheiros binários conhecidos. Este tipo de ataque pode dar ao atacante acesso ao sistema anfitrião. Estes processos são identificados como potenciais ameaças com base em dados de inteligência. Se for detetada uma tentativa de fuga do contentor, pode indicar que um atacante está a explorar vulnerabilidades para sair do contentor. Como resultado, o atacante pode obter acesso não autorizado ao sistema de anfitrião ou à infraestrutura mais ampla, comprometendo todo o ambiente. |
| Execução: execução sem ficheiros em /memfd: | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD |
Foi executado um processo com um descritor de ficheiro na memória. Se um processo for iniciado a partir de um ficheiro na memória, pode indicar que um atacante está a tentar contornar outros métodos de deteção para executar código malicioso. |
| Execução: execução da ferramenta de ataque do Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Foi executada uma ferramenta de ataque específica do Kubernetes no ambiente, o que pode indicar que um atacante está a segmentar componentes do cluster do Kubernetes. Estas ferramentas de ataque são identificadas como potenciais ameaças com base em dados de inteligência. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, pode sugerir que um atacante obteve acesso ao cluster e está a usar a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
| Execução: execução da ferramenta de reconhecimento local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Foi executada uma ferramenta de reconhecimento local normalmente não associada ao contentor ou ao ambiente, o que sugere uma tentativa de recolher informações internas do sistema. Estas ferramentas de reconhecimento são identificadas como potenciais ameaças com base em dados de inteligência. Se for executada uma ferramenta de reconhecimento, sugere que o atacante pode estar a tentar mapear a infraestrutura, identificar vulnerabilidades ou recolher dados sobre as configurações do sistema para planear os passos seguintes. |
| Execução: Python malicioso executado | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Um modelo de aprendizagem automática identificou o código Python especificado como malicioso. Os atacantes podem usar o Python para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. O detetor usa técnicas de PNL para avaliar o conteúdo do código Python executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Python conhecido e novo. |
| Execução: ficheiro binário malicioso modificado executado | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um binário malicioso modificado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Execução: biblioteca maliciosa modificada carregada | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa modificada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
| Execução: execução remota de código do Netcat no contentor | CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
O Netcat, uma utilidade de rede versátil, foi executado no ambiente do contentor, o que pode indicar uma tentativa de estabelecer acesso remoto não autorizado ou exfiltrar dados. A utilização do Netcat num ambiente em contentores pode sinalizar um esforço do atacante para criar um shell inverso, permitir o movimento lateral ou executar comandos arbitrários, o que pode comprometer a integridade do sistema. |
| Execução: possível execução de comandos arbitrários através do CUPS (CVE-2024-47177) | CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Esta regra deteta o processo |
| Execução: possível execução de comando remoto detetada | CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Foi detetado um processo que gera comandos UNIX comuns através de uma ligação de socket de rede, o que indica uma potencial tentativa de estabelecer capacidades de execução de comandos remotos não autorizadas. Os atacantes usam frequentemente técnicas que imitam shells inversos para obter controlo interativo sobre um sistema comprometido, o que lhes permite executar comandos arbitrários remotamente e ignorar medidas de segurança de rede padrão, como restrições de firewall. A deteção da execução de comandos através de um soquete é um forte indicador de acesso remoto malicioso. |
| Execution: Program Run with Disallowed HTTP Proxy Env | CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Foi executado um programa com uma variável de ambiente de proxy HTTP que não é permitida. Isto pode indicar uma tentativa de contornar os controlos de segurança, redirecionar o tráfego para fins maliciosos ou exfiltrar dados através de canais não autorizados. Os atacantes podem configurar proxies HTTP não permitidos para intercetar informações confidenciais, encaminhar o tráfego através de servidores maliciosos ou estabelecer canais de comunicação secretos. A deteção da execução de programas com estas variáveis de ambiente é crucial para manter a segurança da rede e evitar violações de dados. |
| Execução: Socat Reverse Shell Detected | CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED |
O comando
Esta regra deteta a execução |
| Execução: objeto partilhado OpenSSL suspeito carregado | CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
O OpenSSL foi executado para carregar um objeto partilhado personalizado. Os atacantes podem carregar bibliotecas personalizadas e substituir as bibliotecas existentes usadas pelo OpenSSL para executar código malicioso. A sua utilização em produção é invulgar e deve justificar uma investigação imediata. |
| Exfiltração: inicie ferramentas de cópia de ficheiros remotos no contentor | CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Foi detetada uma execução de ferramenta de cópia de ficheiros remota no contentor, o que indica uma potencial exfiltração de dados, movimento lateral ou a implementação de payloads maliciosos. Os atacantes usam frequentemente estas ferramentas para transferir dados confidenciais para fora do contentor, mover-se lateralmente na rede para comprometer outros sistemas ou introduzir software malicioso para atividades maliciosas adicionais. A deteção da utilização de ferramentas de cópia de ficheiros remotos é crucial para evitar violações de dados, acesso não autorizado e comprometer ainda mais o contentor e, potencialmente, o sistema anfitrião. |
| Impacto: detetar linhas de comandos maliciosas | CLOUD_RUN_DETECT_MALICIOUS_CMDLINES |
Foi executado um comando com argumentos conhecidos por serem potencialmente destrutivos, como tentativas de eliminar ficheiros críticos do sistema ou modificar configurações relacionadas com palavras-passe. Os atacantes podem emitir linhas de comandos maliciosas para causar instabilidade no sistema, impedir a recuperação eliminando ficheiros essenciais ou obter acesso não autorizado manipulando as credenciais do utilizador. A deteção destes padrões de comandos específicos é fundamental para evitar um impacto significativo no sistema. |
| Impacto: remover dados em massa do disco | CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK |
Foi detetado um processo que executa operações de eliminação de dados em massa, o que pode indicar uma tentativa de apagar provas, interromper serviços ou executar um ataque de limpeza de dados no ambiente do contentor. Os atacantes podem remover grandes volumes de dados para encobrir os seus rastos, sabotar operações ou preparar a implementação de ransomware. A deteção dessa atividade ajuda a identificar potenciais ameaças antes de ocorrer uma perda de dados críticos. |
| Impacto: atividade de mineração de criptomoedas suspeita através do protocolo Stratum | CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Foi detetado um processo de comunicação através do protocolo Stratum, que é usado frequentemente por software de mineração de criptomoedas. Esta atividade sugere potenciais operações de mineração não autorizadas no ambiente do contentor. Os atacantes implementam frequentemente mineiros de criptomoeda para explorar os recursos do sistema com fins financeiros, o que leva a um desempenho degradado, a um aumento dos custos operacionais e a potenciais riscos de segurança. A deteção deste tipo de atividade ajuda a mitigar o abuso de recursos e o acesso não autorizado. |
| Script malicioso executado | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de aprendizagem automática identificou o código Bash especificado como malicioso. Os atacantes podem usar o Bash para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. O detetor usa técnicas de PNL para avaliar o conteúdo do código Bash executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Bash malicioso conhecido e novo. |
| URL malicioso observado | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
A Deteção de ameaças do Cloud Run observou um URL malicioso na lista de argumentos de um processo em execução. O detetor verifica os URLs observados na lista de argumentos dos processos em execução relativamente às listas de recursos Web não seguros mantidas pelo serviço de Navegação Segura da Google. Se um URL for classificado incorretamente como um site de phishing ou software malicioso, denuncie-o em Denunciar dados incorretos. |
| Escalamento de privilégios: abuso de sudo para escalamento de privilégios (CVE-2019-14287) | CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
Esta deteção notifica uma tentativa de exploração de
CVE-2019-14287, que permite o escalamento de privilégios através do abuso do comando
|
| Escalamento de privilégios: execução sem ficheiros em /dev/shm | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_SHM |
Foi executado um processo a partir de um caminho em
Ao executar um ficheiro a partir de |
| Escalamento de privilégios: vulnerabilidade de escalamento de privilégios locais do Polkit (CVE-2021-4034) | CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Um utilizador não root executou
Esta regra deteta uma tentativa de explorar uma vulnerabilidade de escalamento de privilégios (CVE-2021-4034) no |
| Escalamento de privilégios: potencial escalamento de privilégios do Sudo (CVE-2021-3156) | CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Um utilizador não root executou
Deteta uma tentativa de explorar uma vulnerabilidade que afeta as versões 1.9.5p2 e anteriores do
|
| Reverse Shell | CLOUD_RUN_REVERSE_SHELL |
Um processo iniciado com o redirecionamento de streams para um soquete ligado remotamente. O detetor procura Com um shell inverso, um atacante pode comunicar a partir de uma carga de trabalho comprometida para uma máquina controlada pelo atacante. Em seguida, o atacante pode dar comandos e controlar a carga de trabalho, por exemplo, como parte de uma botnet. |
| Unexpected Child Shell | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. O detetor monitoriza todas as execuções de processos. Quando é invocado um shell, o detetor gera uma descoberta se o processo principal for conhecido por não invocar normalmente shells. |
Detetores do plano de controlo
Os seguintes detetores do plano de controlo estão disponíveis através da Deteção de ameaças de eventos. Estes detetores estão ativados por predefinição. Pode gerir estes detetores da mesma forma que geriria outros detetores de deteção de ameaças de eventos. Para mais informações, consulte o artigo Use a deteção de ameaças de eventos.
| Nome a apresentar | Nome da API | Tipos de origens de registos | Descrição |
|---|---|---|---|
| Impacto: comandos de mineração de criptomoedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexados comandos de mineração de criptomoedas específicos a uma tarefa do Cloud Run durante a execução. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Execução: imagem de Docker de mineração de criptomoedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexadas imagens do Docker específicas conhecidas como más a um serviço ou uma tarefa do Cloud Run novo ou existente. Por predefinição, as conclusões são classificadas como gravidade Alta. |
| Elevação de privilégios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: Registos de atividade do administrador |
A conta de serviço do Compute Engine predefinida foi usada para definir a política IAM para um serviço do Cloud Run. Esta é uma potencial ação pós-exploração quando um token do Compute Engine é comprometido a partir de um serviço sem servidor. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
O que se segue?
- Saiba como usar a Deteção de ameaças do Cloud Run.
- Saiba como usar a deteção de ameaças de eventos.
- Saiba como responder a resultados de ameaças do Cloud Run.
- Consulte o índice de resultados de ameaças.