Cloud Run Threat Detection est un service intégré à Security Command Center qui surveille en permanence l'état des ressources Cloud Run compatibles pour détecter les attaques d'exécution les plus courantes. Si Cloud Run Threat Detection détecte une attaque, il génère un résultat dans Security Command Center en temps quasi réel.
Les détecteurs d'exécution Cloud Run Threat Detection surveillent les ressources Cloud Run pour détecter les bibliothèques et les binaires suspects, et utilisent le traitement du langage naturel (NLP) pour détecter le code Bash et Python malveillant.
De plus, des détecteurs de plan de contrôle sont disponibles avec Event Threat Detection. Ces détecteurs surveillent le flux Cloud Logging de votre organisation ou de vos projets pour détecter les attaques potentielles contre le plan de contrôle de vos ressources Cloud Run.
Ressources compatibles
Cloud Run Threat Detection surveille les ressources suivantes :
Environnements d'exécution compatibles
Les environnements d'exécution compatibles diffèrent pour les détecteurs d'exécution et les détecteurs du plan de contrôle.
Environnements d'exécution compatibles pour les détecteurs d'exécution
Les détecteurs d'exécution de Cloud Run Threat Detection ne sont compatibles qu'avec les ressources Cloud Run qui s'exécutent dans l'environnement d'exécution de deuxième génération. Tenez compte des points suivants avant d'activer la détection des menaces Cloud Run :
Lorsque vous activez la détection des menaces Cloud Run, vous ne pouvez pas créer de service ni de révision de service Cloud Run qui s'exécutent sur l'environnement d'exécution de première génération. Le service Cloud Run doit utiliser l'environnement d'exécution de deuxième génération. Nous vous recommandons de tester vos charges de travail sur l'environnement d'exécution de deuxième génération avant d'activer Cloud Run Threat Detection.
Pour activer la détection des menaces au moment de l'exécution pour un service, déployez une révision qui définit l'environnement d'exécution du service sur l'environnement d'exécution de deuxième génération ou par défaut.
Environnements d'exécution compatibles pour les détecteurs du plan de contrôle
Les détecteurs du plan de contrôle sont compatibles avec les environnements d'exécution de première et de deuxième génération.
Fonctionnement de la détection des menaces d'exécution dans Cloud Run Threat Detection
Lorsque vous activez la détection des menaces Cloud Run, elle collecte des données de télémétrie à partir des ressources Cloud Run compatibles pour analyser les processus, les scripts et les bibliothèques susceptibles d'indiquer une attaque au moment de l'exécution. Voici le chemin d'exécution lorsque des événements sont détectés :
- Cloud Run Threat Detection utilise un processus d'observation pour collecter des informations sur les conteneurs et les événements pendant toute la durée d'une charge de travail Cloud Run.
Cloud Run Threat Detection analyse les informations sur les événements collectées pour déterminer si un événement indique un incident. Il utilise le traitement du langage naturel pour analyser les scripts Bash et Python à la recherche de code malveillant.
Si Cloud Run Threat Detection identifie un incident, il le signale en tant que résultat dans Security Command Center.
Si Cloud Run Threat Detection n'identifie pas d'incident, aucune information n'est stockée.
Toutes les données collectées sont éphémères et ne sont pas stockées de manière permanente.
Pour savoir comment examiner les résultats de Cloud Run Threat Detection dans la consoleGoogle Cloud , consultez Examiner les résultats.
Problèmes connus
- Si le processus d'observation s'arrête prématurément dans une instance en cours d'exécution de votre service ou job Cloud Run, il ne redémarre pas. L'instance cesse d'envoyer des informations de télémétrie à la détection des menaces Cloud Run. Les journaux Cloud Run Threat Detection sont absents des journaux d'instance. Aucun indicateur n'indique qu'un processus d'observation s'est arrêté.
Détecteurs
Cette section liste les détecteurs de plan de contrôle et d'exécution disponibles. Nous ajoutons régulièrement de nouveaux détecteurs à mesure que de nouvelles menaces cloud émergent.
Détecteurs d'exécution
Cloud Run Threat Detection inclut les détecteurs d'exécution suivants :
| Nom à afficher | Nom de l'API | Description |
|---|---|---|
| Commande et contrôle : outil de stéganographie détecté | CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED |
Un programme identifié comme un outil de stéganographie couramment utilisé dans les environnements de type Unix a été exécuté, ce qui indique une tentative potentielle de dissimulation de communication ou de transfert de données. Les pirates informatiques peuvent utiliser des techniques stéganographiques pour intégrer des instructions de commande et de contrôle (C2) malveillantes ou des données exfiltrées dans des fichiers numériques apparemment inoffensifs, dans le but d'échapper à la surveillance et à la détection de sécurité standard. Il est essentiel d'identifier l'utilisation de tels outils pour déceler les activités malveillantes cachées. |
| Accès aux identifiants : recherche d'identifiants Google Cloud | CLOUD_RUN_FIND_GCP_CREDENTIALS |
Une commande a été exécutée pour rechercher des clés privées, des mots de passe ou d'autres identifiants sensibles dans l'environnement de conteneur. Google Cloud Un pirate informatique peut utiliser des identifiants Google Cloud volés pour accéder de manière illégitime à des données ou ressources sensibles dans l'environnement Google Cloud ciblé. |
| Accès aux identifiants : reconnaissance des clés GPG | CLOUD_RUN_GPG_KEY_RECONNAISSANCE |
Une commande a été exécutée pour rechercher des clés de sécurité GPG. Un pirate informatique pourrait utiliser des clés de sécurité GPG volées pour accéder de manière non autorisée à des communications ou des fichiers chiffrés. |
| Accès aux identifiants : rechercher des clés privées ou des mots de passe | CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Une commande a été exécutée pour rechercher des clés privées, des mots de passe ou d'autres identifiants sensibles dans l'environnement du conteneur, ce qui indique une tentative potentielle de collecte de données d'authentification. Les pirates informatiques recherchent souvent des fichiers d'identifiants pour accéder de manière non autorisée à des systèmes, obtenir des droits plus élevés ou se déplacer latéralement dans l'environnement. Il est essentiel de détecter ce type d'activité pour éviter les failles de sécurité. |
| Évasion de la défense : ligne de commande avec fichier ELF en base64 | CLOUD_RUN_BASE64_ELF_FILE_CMDLINE |
Un processus a été exécuté avec un argument de type "fichier ELF (Executable and Linkable Format)". Si l'exécution d'un fichier ELF encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un fichier ELF. |
| Évasion de la défense : script Python encodé en base64 exécuté | CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Un processus a été exécuté avec un argument de type "script Python encodé en base64". Si l'exécution d'un script Python encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un script Python. |
| Évasion de la défense : script shell encodé en base64 exécuté | CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Un processus a été exécuté avec un argument de type "script shell encodé en base64". Si l'exécution d'un script shell encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un script shell. |
| Évasion de la défense : lancer un outil de compilation de code dans un conteneur | CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Un processus a été lancé pour lancer un outil de compilation de code dans l'environnement de conteneur, ce qui indique une tentative potentielle de compilation ou de modification de code exécutable dans un contexte isolé. Les pirates informatiques peuvent utiliser des compilateurs de code dans des conteneurs pour développer des charges utiles malveillantes, injecter du code dans des binaires existants ou créer des outils permettant de contourner les contrôles de sécurité. Tout cela se fait dans un environnement moins surveillé afin d'échapper à la détection sur le système hôte. |
| Exécution : binaire malveillant ajouté exécuté | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Un binaire répondant aux conditions suivantes a été exécuté :
Si un fichier binaire malveillant ajouté est exécuté, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
| Exécution : bibliothèque malveillante ajoutée chargée | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Une bibliothèque répondant aux conditions suivantes a été chargée :
Si une bibliothèque malveillante ajoutée est chargée, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
| Exécution : binaire malveillant intégré exécuté | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Un binaire répondant aux conditions suivantes a été exécuté :
Si un fichier binaire malveillant intégré est exécuté, cela signifie que le pirate informatique déploie des conteneurs malveillants. Ils peuvent avoir pris le contrôle d'un dépôt d'images ou d'un pipeline de compilation de conteneurs légitimes, et injecté un fichier binaire malveillant dans l'image de conteneur. |
| Exécution : échappement de conteneur | CLOUD_RUN_CONTAINER_ESCAPE |
Un processus a été exécuté dans le conteneur et a tenté de sortir de l'isolation du conteneur à l'aide de techniques ou de binaires d'échappement connus. Ce type d'attaque peut donner au pirate informatique l'accès au système hôte. Ces processus sont identifiés comme des menaces potentielles sur la base de données de renseignements. Si une tentative d'échappement de conteneur est détectée, cela peut indiquer qu'un pirate informatique exploite des failles pour sortir du conteneur. Par conséquent, l'attaquant peut obtenir un accès non autorisé au système hôte ou à une infrastructure plus large, ce qui compromet l'ensemble de l'environnement. |
| Exécution : exécution sans fichier dans /memfd : | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD |
Un processus a été exécuté à l'aide d'un descripteur de fichier en mémoire. Si un processus est lancé à partir d'un fichier en mémoire, cela peut indiquer qu'un pirate informatique tente de contourner d'autres méthodes de détection afin d'exécuter du code malveillant. |
| Exécution : exécution d'un outil d'attaque de Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Un outil d'attaque spécifique à Kubernetes a été exécuté dans l'environnement, ce qui peut indiquer qu'un pirate informatique cible les composants du cluster Kubernetes. Ces outils d'attaque sont identifiés comme des menaces potentielles sur la base de données de renseignements. Si un outil d'attaque est exécuté dans l'environnement Kubernetes, cela peut suggérer qu'un pirate informatique a accédé au cluster et utilise l'outil pour exploiter des failles ou des configurations spécifiques à Kubernetes. |
| Exécution : exécution d'un outil de reconnaissance local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Un outil de reconnaissance local qui n'est généralement pas associé au conteneur ni à l'environnement a été exécuté, ce qui suggère une tentative de collecte d'informations sur le système interne. Ces outils de reconnaissance sont identifiés comme des menaces potentielles en fonction des données de renseignement. Si un outil de reconnaissance est exécuté, cela suggère que l'attaquant tente peut-être de cartographier l'infrastructure, d'identifier les failles ou de collecter des données sur les configurations système pour planifier ses prochaines étapes. |
| Exécution : code Python malveillant exécuté | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Un modèle de machine learning a identifié le code Python spécifié comme malveillant. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Python exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier le code Python connu et nouveau. |
| Exécution : binaire malveillant modifié exécuté | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Un binaire répondant aux conditions suivantes a été exécuté :
Si un fichier binaire malveillant modifié est exécuté, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
| Exécution : bibliothèque malveillante modifiée chargée | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Une bibliothèque répondant aux conditions suivantes a été chargée :
Si une bibliothèque malveillante modifiée est chargée, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant. |
| Exécution : exécution de code Netcat à distance dans un conteneur | CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, un utilitaire réseau polyvalent, a été exécuté dans l'environnement de conteneur, ce qui indique potentiellement une tentative d'établir un accès à distance non autorisé ou d'exfiltrer des données. L'utilisation de Netcat dans un environnement conteneurisé peut indiquer qu'un pirate informatique tente de créer un shell inversé, de permettre un déplacement latéral ou d'exécuter des commandes arbitraires, ce qui pourrait compromettre l'intégrité du système. |
| Exécution possible de commandes arbitraires via CUPS (CVE-2024-47177) | CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Cette règle détecte le processus |
| Exécution : exécution possible de commandes à distance détectée | CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Un processus a été détecté, qui génère des commandes UNIX courantes via une connexion de socket réseau, ce qui indique une tentative potentielle d'établir des capacités d'exécution de commandes à distance non autorisées. Les pirates informatiques utilisent fréquemment des techniques qui imitent les shells inversés pour obtenir un contrôle interactif sur un système piraté, ce qui leur permet d'exécuter des commandes arbitraires à distance et de contourner les mesures de sécurité réseau standards telles que les restrictions de pare-feu. La détection de l'exécution de commandes sur un socket est un indicateur fort d'accès à distance malveillant. |
| Exécution : exécution d'un programme avec un environnement de proxy HTTP non autorisé | CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Un programme a été exécuté avec une variable d'environnement de proxy HTTP non autorisée. Cela peut indiquer une tentative de contournement des contrôles de sécurité, de redirection du trafic à des fins malveillantes ou d'exfiltration de données par des canaux non autorisés. Les pirates informatiques peuvent configurer des proxys HTTP non autorisés pour intercepter des informations sensibles, acheminer le trafic via des serveurs malveillants ou établir des canaux de communication secrets. Il est essentiel de détecter l'exécution de programmes avec ces variables d'environnement pour maintenir la sécurité du réseau et éviter les fuites de données. |
| Exécution : shell inversé de Socat détecté | CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED |
La commande
Cette règle détecte l'exécution de |
| Exécution : objet partagé OpenSSL suspect chargé | CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL a été exécuté pour charger un objet partagé personnalisé. Les pirates informatiques peuvent charger des bibliothèques personnalisées et remplacer les bibliothèques existantes utilisées par OpenSSL afin d'exécuter du code malveillant. Son utilisation en production est rare et doit faire l'objet d'une enquête immédiate. |
| Exfiltration : lancer des outils de copie de fichiers à distance dans un conteneur | CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
L'exécution d'un outil de copie de fichiers à distance a été détectée dans le conteneur, ce qui indique une exfiltration de données, un déplacement latéral ou le déploiement de charges utiles malveillantes potentiels. Les pirates informatiques utilisent souvent ces outils pour transférer des données sensibles en dehors du conteneur, se déplacer latéralement sur le réseau afin de compromettre d'autres systèmes ou introduire des logiciels malveillants pour d'autres activités malveillantes. La détection de l'utilisation d'outils de copie de fichiers à distance est essentielle pour éviter les fuites de données, les accès non autorisés et la compromission du conteneur et potentiellement du système hôte. |
| Impact : Détecter les lignes de commande malveillantes | CLOUD_RUN_DETECT_MALICIOUS_CMDLINES |
Une commande a été exécutée avec des arguments connus pour être potentiellement destructeurs, comme des tentatives de suppression de fichiers système critiques ou de modification de configurations liées aux mots de passe. Les pirates informatiques peuvent émettre des lignes de commande malveillantes pour provoquer l'instabilité du système, empêcher la récupération en supprimant des fichiers essentiels ou obtenir un accès non autorisé en manipulant les identifiants utilisateur. La détection de ces modèles de commandes spécifiques est essentielle pour éviter un impact important sur le système. |
| Impact : supprimer des données du disque de manière groupée | CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK |
Un processus a été détecté en train d'effectuer des opérations de suppression de données en masse, ce qui peut indiquer une tentative d'effacer des preuves, de perturber des services ou d'exécuter une attaque d'effacement de données dans l'environnement du conteneur. Les pirates informatiques peuvent supprimer de grands volumes de données pour effacer leurs traces, saboter des opérations ou préparer le déploiement d'un ransomware. La détection de ce type d'activité permet d'identifier les menaces potentielles avant qu'une perte de données critiques ne se produise. |
| Impact : activité de minage de cryptomonnaie suspecte utilisant le protocole Stratum | CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Un processus de communication via le protocole Stratum, couramment utilisé par les logiciels de minage de cryptomonnaie, a été détecté. Cette activité suggère des opérations de minage non autorisées potentielles dans l'environnement de conteneur. Les pirates informatiques déploient souvent des mineurs de cryptomonnaie pour exploiter les ressources système à des fins financières, ce qui entraîne une dégradation des performances, une augmentation des coûts opérationnels et des risques de sécurité potentiels. La détection de ce type d'activité permet d'atténuer l'utilisation abusive des ressources et les accès non autorisés. |
| Script malveillant exécuté | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Un modèle de machine learning a identifié le code Bash spécifié comme malveillant. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires. Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les codes Bash malveillants connus et nouveaux. |
| URL malveillante observée | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
La détection des menaces Cloud Run a détecté une URL malveillante dans la liste des arguments d'un processus en cours d'exécution. Le détecteur compare les URL observées dans la liste des arguments des processus en cours d'exécution aux listes de ressources Web non sécurisées gérées par le service Google Navigation sécurisée. Si une URL est classée à tort comme site d'hameçonnage ou logiciel malveillant, signalez-le sur la page Signaler des données incorrectes. |
| Élévation des privilèges : utilisation abusive de Sudo pour l'élévation des privilèges (CVE-2019-14287) | CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
Cette détection signale une tentative d'exploitation de la faille CVE-2019-14287, qui permet une élévation des privilèges en abusant de la commande |
| Élévation des privilèges : exécution sans fichier dans /dev/shm | CLOUD_RUN_FILELESS_EXECUTION_DETECTION_SHM |
Un processus a été exécuté à partir d'un chemin d'accès dans
En exécutant un fichier à partir de |
| Élévation des privilèges : faille liée à l'élévation des privilèges locaux de Polkit (CVE-2021-4034) | CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Un utilisateur non racine a exécuté
Cette règle détecte une tentative d'exploitation d'une faille d'élévation des privilèges (CVE-2021-4034) dans |
| Élévation des privilèges : élévation potentielle des privilèges de Sudo (CVE-2021-3156) | CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Un utilisateur non racine a exécuté
Détecte une tentative d'exploitation d'une faille affectant les versions 1.9.5p2 et antérieures de |
| Interface système inversée | CLOUD_RUN_REVERSE_SHELL |
Un processus a commencé par une redirection de flux vers un socket connecté distant. Le détecteur recherche Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail, par exemple dans le cadre d'un botnet. |
| Shell enfant inattendu | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Un processus qui n'invoque normalement pas de shells a généré un processus de shell. Le détecteur surveille toutes les exécutions de processus. Lorsqu'un shell est appelé, le détecteur génère un résultat si le processus parent est connu pour ne pas appeler généralement de shells. |
Détecteurs du plan de contrôle
Les détecteurs de plan de contrôle suivants sont disponibles dans Event Threat Detection. Ces détecteurs sont activés par défaut. Vous gérez ces détecteurs de la même manière que les autres détecteurs Event Threat Detection. Pour en savoir plus, consultez Utiliser Event Threat Detection.
| Nom à afficher | Nom de l'API | Types de sources de journal | Description |
|---|---|---|---|
| Impact : commandes de minage de cryptomonnaie | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs : Journaux d'audit des événements système IAM |
Des commandes de minage de cryptomonnaie spécifiques ont été associées à un job Cloud Run lors de l'exécution. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Exécution : image Docker de minage de cryptomonnaie | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs : Journaux d'audit des événements système IAM |
Des images Docker spécifiques connues comme étant incorrectes ont été associées à un service ou un job Cloud Run nouveau ou existant. Par défaut, les résultats sont classés dans le niveau de gravité élevé. |
| Escalade des privilèges : compte de service Compute Engine par défaut SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Journaux d'audit Cloud : Journaux des activités d'administration |
Le compte de service Compute Engine par défaut a été utilisé pour définir la stratégie IAM d'un service Cloud Run. Il s'agit d'une action post-exploitation potentielle lorsqu'un jeton Compute Engine est compromis à partir d'un service sans serveur. Par défaut, les résultats sont classés dans le niveau de gravité faible. |
Étapes suivantes
- Découvrez comment utiliser Cloud Run Threat Detection.
- Découvrez comment utiliser Event Threat Detection.
- Découvrez comment répondre aux résultats de détection des menaces Cloud Run.
- Consultez l'index des résultats de détection de menace.