Cloud Run Threat Detection – Übersicht

Es wurde ein Programm ausgeführt, das als Steganografietool identifiziert wurde, das häufig in Unix-ähnlichen Umgebungen zu finden ist. Dies deutet auf einen möglichen Versuch hin, die Kommunikation oder den Datentransfer zu verschleiern.

Angreifer können steganografische Techniken nutzen, um schädliche C2-Anweisungen (Command-and-Control) oder exfiltrierte Daten in scheinbar harmlosen digitalen Dateien einzubetten, um die standardmäßige Sicherheitsüberwachung und ‑erkennung zu umgehen. Die Verwendung solcher Tools ist entscheidend, um verborgene schädliche Aktivitäten aufzudecken.

Es wurde ein Befehl ausgeführt, um im Container nach Google Cloud privaten Schlüsseln, Passwörtern oder anderen vertraulichen Anmeldedaten zu suchen.

Ein Angreifer könnte gestohlene Google Cloud Anmeldedaten verwenden, um sich unrechtmäßigen Zugriff auf vertrauliche Daten oder Ressourcen in der Zielumgebung Google Cloud zu verschaffen.

Es wurde ein Befehl ausgeführt, um nach GPG-Sicherheitsschlüsseln zu suchen.

Ein Angreifer könnte gestohlene GPG-Sicherheitsschlüssel verwenden, um sich unbefugten Zugriff auf verschlüsselte Kommunikation oder Dateien zu verschaffen.

Es wurde ein Befehl ausgeführt, um im Container nach privaten Schlüsseln, Passwörtern oder anderen vertraulichen Anmeldedaten zu suchen. Dies deutet auf einen möglichen Versuch hin, Authentifizierungsdaten zu sammeln.

Angreifer suchen häufig nach Anmeldedatendateien, um unbefugten Zugriff auf Systeme zu erhalten, Berechtigungen zu eskalieren oder sich lateral in der Umgebung zu bewegen. Die Erkennung solcher Aktivitäten ist entscheidend, um Sicherheitsverstöße zu verhindern.

Es wurde ein Prozess ausgeführt, der ein Argument enthält, das eine ELF-Datei (Executable and Linkable Format) ist.

Wenn die Ausführung einer codierten ELF-Datei erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärprogrammdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer könnten mit dieser Technik die Erkennung umgehen und schädlichen Code ausführen, der in eine ELF-Datei eingebettet ist.

Es wurde ein Prozess ausgeführt, der ein Argument enthält, das ein base64-codiertes Python-Script ist.

Wenn die Ausführung eines codierten Python-Skripts erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärprogrammdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer könnten mit dieser Technik die Erkennung umgehen und schädlichen Code ausführen, der in ein Python-Script eingebettet ist.

Es wurde ein Prozess ausgeführt, der ein Argument enthält, das ein base64-codiertes Shell-Script ist.

Wenn die Ausführung eines codierten Shell-Skripts erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärprogrammdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer könnten mit dieser Technik die Erkennung umgehen und schädlichen Code ausführen, der in ein Shell-Script eingebettet ist.

Es wurde ein Prozess zum Starten eines Code-Compiler-Tools in der Containerumgebung initiiert. Dies deutet auf einen potenziellen Versuch hin, ausführbaren Code in einem isolierten Kontext zu erstellen oder zu ändern.

Angreifer können Code-Compiler in Containern verwenden, um schädliche Nutzlasten zu entwickeln, Code in vorhandene Binärdateien einzufügen oder Tools zu erstellen, um Sicherheitskontrollen zu umgehen. Dabei agieren sie in einer weniger genau überwachten Umgebung, um die Erkennung auf dem Hostsystem zu umgehen.

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

• Auf Grundlage von Threat Intelligence als schädlich eingestuft
• Nicht Teil des ursprünglichen Container-Image

Wenn eine hinzugefügte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:

• Auf Grundlage von Threat Intelligence als schädlich eingestuft
• Nicht Teil des ursprünglichen Container-Image

Wenn eine hinzugefügte schädliche Bibliothek geladen wird, ist dies ein starkes Anzeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

• Auf Grundlage von Threat Intelligence als schädlich eingestuft
• Im ursprünglichen Container-Image enthalten

Wenn eine integrierte schädliche Binärdatei ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Sie haben möglicherweise die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline erlangt und ein schädliches Binärprogramm in das Container-Image eingefügt.

Im Container wurde ein Prozess ausgeführt, der versucht hat, die Isolation des Containers mithilfe bekannter Escape-Techniken oder Binärdateien zu durchbrechen. Diese Art von Angriff kann dem Angreifer Zugriff auf das Hostsystem verschaffen. Diese Prozesse werden anhand von Informationen als potenzielle Bedrohungen identifiziert.

Wenn ein Container-Escape-Versuch erkannt wird, deutet dies möglicherweise darauf hin, dass ein Angreifer Sicherheitslücken ausnutzt, um aus dem Container auszubrechen. Dadurch kann der Angreifer unbefugten Zugriff auf das Hostsystem oder die gesamte Infrastruktur erhalten und die gesamte Umgebung gefährden.

Ein Prozess wurde mit einem speicherinternen Dateideskriptor ausgeführt.

Wenn ein Prozess über eine Datei im Arbeitsspeicher gestartet wird, deutet dies möglicherweise darauf hin, dass ein Angreifer versucht, andere Erkennungsmethoden zu umgehen, um schädlichen Code auszuführen.

Ein Kubernetes-spezifisches Angriffstool wurde in der Umgebung ausgeführt. Dies kann darauf hindeuten, dass ein Angreifer auf Kubernetes-Clusterkomponenten abzielt. Diese Angriffstools werden anhand von Informationen als potenzielle Bedrohungen identifiziert.

Wenn ein Angriffstool in der Kubernetes-Umgebung ausgeführt wird, kann dies darauf hindeuten, dass ein Angreifer Zugriff auf den Cluster erhalten hat und das Tool verwendet, um Kubernetes-spezifische Sicherheitslücken oder Konfigurationen auszunutzen.

Ein lokales Aufklärungstool, das normalerweise nicht mit dem Container oder der Umgebung verknüpft ist, wurde ausgeführt. Dies deutet auf einen Versuch hin, interne Systeminformationen zu sammeln. Diese Aufklärungstools werden anhand von Informationen als potenzielle Bedrohungen identifiziert.

Wenn ein Aufklärungstool ausgeführt wird, deutet dies darauf hin, dass der Angreifer möglicherweise versucht, die Infrastruktur zu kartieren, Schwachstellen zu identifizieren oder Daten zu Systemkonfigurationen zu sammeln, um seine nächsten Schritte zu planen.

Ein ML-Modell (maschinelles Lernen) hat den angegebenen Python-Code als schädlich identifiziert. Angreifer können Python verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet NLP-Techniken, um den Inhalt von ausgeführtem Python-Code zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen Python-Code identifizieren.

Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:

• Auf Grundlage von Threat Intelligence als schädlich eingestuft
• Im ursprünglichen Container-Image enthalten
• Während der Laufzeit aus dem ursprünglichen Container-Image geändert

Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und Schadsoftware ausführt.

Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:

• Auf Grundlage von Threat Intelligence als schädlich eingestuft
• Im ursprünglichen Container-Image enthalten
• Während der Laufzeit aus dem ursprünglichen Container-Image geändert

Wenn eine modifizierte schädliche Bibliothek geladen wird, ist dies ein starkes Anzeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt.

Netcat, ein vielseitiges Netzwerkdienstprogramm, wurde in der Containerumgebung ausgeführt. Dies deutet möglicherweise auf einen Versuch hin, unbefugten Remotezugriff einzurichten oder Daten zu exfiltrieren.

Die Verwendung von Netcat in einer containerisierten Umgebung kann darauf hindeuten, dass ein Angreifer versucht, eine Reverse Shell zu erstellen, die laterale Bewegung zu ermöglichen oder beliebige Befehle auszuführen, was die Systemintegrität gefährden könnte.

Mit dieser Regel wird erkannt, wenn der Prozess foomatic-rip allgemeine Shell-Programme ausführt. Das kann darauf hindeuten, dass ein Angreifer CVE-2024-47177 ausgenutzt hat. Der foomatic-rip ist Teil von OpenPrinting CUPS, einem Open-Source-Druckdienst, der in vielen Linux-Distributionen enthalten ist. Bei den meisten Container-Images ist dieser Druckdienst deaktiviert oder entfernt. Wenn diese Erkennung vorhanden ist, prüfen Sie, ob es sich um ein beabsichtigtes Verhalten handelt, oder deaktivieren Sie den Dienst sofort.

Es wurde ein Prozess erkannt, der über eine Netzwerk-Socket-Verbindung allgemeine UNIX-Befehle ausführt. Dies deutet auf einen möglichen Versuch hin, unbefugte Remote-Befehlsausführungsfunktionen einzurichten.

Angreifer nutzen häufig Techniken, die Reverse Shells ähneln, um interaktive Kontrolle über ein gehacktes System zu erlangen. So können sie beliebige Befehle aus der Ferne ausführen und standardmäßige Netzwerksicherheitsmaßnahmen wie Firewallbeschränkungen umgehen. Die Erkennung der Befehlsausführung über einen Socket ist ein starker Hinweis auf böswilligen Remotezugriff.

Ein Programm wurde mit einer nicht zulässigen HTTP-Proxy-Umgebungsvariable ausgeführt. Dies kann auf einen Versuch hindeuten, Sicherheitskontrollen zu umgehen, Traffic für schädliche Zwecke umzuleiten oder Daten über nicht autorisierte Kanäle zu exfiltrieren.

Angreifer können nicht zulässige HTTP-Proxys konfigurieren, um vertrauliche Informationen abzufangen, Traffic über bösartige Server weiterzuleiten oder verdeckte Kommunikationskanäle einzurichten. Die Erkennung der Ausführung von Programmen mit diesen Umgebungsvariablen ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit und die Verhinderung von Datenpannen.

Der Befehl socat wurde verwendet, um eine Reverse Shell zu erstellen.

Diese Regel erkennt die Ausführung von socat, um eine Reverse-Shell zu erstellen, indem die Dateideskriptoren für stdin, stdout und stderr umgeleitet werden. Dies ist eine gängige Methode, die von Angreifern verwendet wird, um Remotezugriff auf ein gehacktes System zu erhalten.

OpenSSL wurde ausgeführt, um ein benutzerdefiniertes freigegebenes Objekt zu laden.

Angreifer können benutzerdefinierte Bibliotheken laden und vorhandene Bibliotheken ersetzen, die von OpenSSL verwendet werden, um schädlichen Code auszuführen. Die Verwendung in der Produktion ist ungewöhnlich und sollte sofort untersucht werden.

Im Container wurde die Ausführung eines Tools zum Kopieren von Remotedateien erkannt. Dies deutet auf potenziellen Datenabfluss, Lateral Movement oder die Bereitstellung schädlicher Nutzlasten hin.

Angreifer verwenden diese Tools häufig, um vertrauliche Daten aus dem Container zu übertragen, sich lateral im Netzwerk zu bewegen, um andere Systeme zu manipulieren, oder Malware für weitere schädliche Aktivitäten einzuschleusen. Die Erkennung der Verwendung von Tools zum Kopieren von Dateien per Fernzugriff ist entscheidend, um Datenpannen, unbefugten Zugriff und weitere Gefährdungen des Containers und möglicherweise des Hostsystems zu verhindern.

Ein Befehl wurde mit Argumenten ausgeführt, die bekanntermaßen potenziell schädlich sind, z. B. Versuche, wichtige Systemdateien zu löschen oder passwortbezogene Konfigurationen zu ändern.

Angreifer können schädliche Befehlszeilen ausgeben, um Systeminstabilität zu verursachen, die Wiederherstellung zu verhindern, indem sie wichtige Dateien löschen, oder unbefugten Zugriff zu erlangen, indem sie Nutzeranmeldedaten manipulieren. Das Erkennen dieser spezifischen Befehlsmuster ist entscheidend, um erhebliche Auswirkungen auf das System zu verhindern.

Es wurde ein Prozess erkannt, der Massenlöschvorgänge für Daten ausführt. Dies könnte auf einen Versuch hindeuten, Beweise zu vernichten, Dienste zu stören oder einen Angriff zum Löschen von Daten in der Containerumgebung auszuführen.

Angreifer entfernen möglicherweise große Datenmengen, um ihre Spuren zu verwischen, Abläufe zu sabotieren oder sich auf den Einsatz von Ransomware vorzubereiten. Das Erkennen solcher Aktivitäten hilft, potenzielle Bedrohungen zu identifizieren, bevor es zu kritischen Datenverlusten kommt.

Es wurde ein Prozess erkannt, der über das Stratum-Protokoll kommuniziert. Dieses Protokoll wird häufig von Kryptowährungs-Mining-Software verwendet. Diese Aktivität deutet auf potenziell unautorisierte Mining-Vorgänge in der Containerumgebung hin.

Angreifer setzen häufig Kryptowährungs-Miner ein, um Systemressourcen für finanzielle Vorteile zu nutzen. Dies führt zu einer schlechteren Leistung, höheren Betriebskosten und potenziellen Sicherheitsrisiken. Das Erkennen solcher Aktivitäten trägt dazu bei, Ressourcenmissbrauch und unbefugten Zugriff zu verhindern.

Ein ML-Modell (maschinelles Lernen) hat den angegebenen Bash-Code als schädlich identifiziert. Angreifer können Bash verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen.

Der Detektor verwendet NLP-Techniken, um den Inhalt von ausgeführtem Bash-Code zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannten und neuen schädlichen Bash-Code identifizieren.

Cloud Run Threat Detection hat in der Argumentliste eines laufenden Prozesses eine schädliche URL erkannt.

Der Detector gleicht URLs, die in der Argumentliste laufender Prozesse beobachtet werden, mit den Listen unsicherer Webressourcen ab, die vom Google-Dienst Safe Browsing verwaltet werden. Wenn eine URL fälschlicherweise als Phishing-Website oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden.

sudo wurde mit Argumenten ausgeführt, mit denen versucht wird, Berechtigungen auszuweiten.

Diese Erkennung weist auf einen Versuch hin, die Sicherheitslücke CVE-2019-14287 auszunutzen, die eine Rechteausweitung durch Missbrauch des Befehls sudo ermöglicht. In sudo-Versionen vor v1.8.28 gab es eine Sicherheitslücke, die es einem Nutzer ohne Rootberechtigung ermöglichte, seine Berechtigungen auf die eines Rootnutzers auszuweiten.

Ein Prozess wurde über einen Pfad in /dev/shm ausgeführt.

Wenn ein Angreifer eine Datei aus /dev/shm ausführt, kann er schädlichen Code aus diesem Verzeichnis ausführen, um die Erkennung durch Sicherheitstools zu umgehen. So kann er Angriffe zur Rechteausweitung oder Prozessinjektion durchführen.

Ein Nutzer ohne Rootberechtigung hat pkexec mit Umgebungsvariablen ausgeführt, die versuchen, Berechtigungen zu erweitern.

Mit dieser Regel wird ein Versuch erkannt, eine Sicherheitslücke zur Rechteausweitung (CVE-2021-4034) in pkexec von Polkit auszunutzen. Durch Ausführen von speziell entwickeltem Code kann ein Nutzer ohne Rootberechtigung diese Sicherheitslücke nutzen, um Rootberechtigungen auf einem kompromittierten System zu erhalten.

Ein Nutzer ohne Rootberechtigung hat sudo oder sudoedit mit einer Reihe von Argumenten ausgeführt, mit denen versucht wird, Berechtigungen auszuweiten.

Erkennt einen Versuch, eine Sicherheitslücke auszunutzen, die sudo-Versionen 1.9.5p2 und früher betrifft. Die Ausführung von sudo oder sudoedit mit bestimmten Argumenten, einschließlich eines Arguments, das mit einem einzelnen Backslash endet, als nicht privilegierter Nutzer kann die Berechtigungen des Nutzers auf die eines Root-Nutzers erhöhen.

Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Der Detektor sucht nach stdin, gebunden an einen Remote-Socket.

Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets.

Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shellprozess gestartet.

Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess normalerweise keine Shells aufruft.