סקירה כללית על Cloud Run Threat Detection

Cloud Run Threat Detection הוא שירות מובנה של Security Command Center שמנטר באופן רציף את המצב של משאבי Cloud Run נתמכים כדי לזהות את המתקפות הנפוצות ביותר בזמן ריצה. אם Cloud Run Threat Detection מזהה מתקפה, הוא יוצר ממצא ב-Security Command Center כמעט בזמן אמת.

גלאי זמן הריצה של Cloud Run Threat Detection עוקבים אחרי משאבי Cloud Run כדי לזהות קבצים בינאריים וספריות חשודים, ומשתמשים בעיבוד שפה טבעית (NLP) כדי לזהות קוד זדוני של Bash ו-Python.

בנוסף, גלאים של מישור הבקרה זמינים דרך Event Threat Detection. הגלאים האלה עוקבים אחרי הזרם של Cloud Logging בארגון או בפרויקטים שלכם כדי לזהות מתקפות פוטנציאליות על מישור הבקרה של משאבי Cloud Run.

משאבים נתמכים

התכונה 'זיהוי איומים ב-Cloud Run' עוקבת אחרי המשאבים הבאים:

סביבות הפעלה נתמכות

סביבות ההפעלה הנתמכות שונות עבור גלאי זמן ריצה וגלאי מישור בקרה.

סביבות הפעלה נתמכות לזיהוי בזמן ריצה

גלאי זמן הריצה של Cloud Run Threat Detection תומכים רק במשאבי Cloud Run שפועלים בסביבת הביצוע מהדור השני. לפני שמפעילים את Cloud Run Threat Detection, כדאי לשקול את הנקודות הבאות:

כשמפעילים את Cloud Run Threat Detection, אי אפשר ליצור שירות Cloud Run או גרסת שירות שפועלים בסביבת ההרצה מהדור הראשון. שירות Cloud Run צריך להשתמש בסביבת ההפעלה מהדור השני. מומלץ לבדוק את עומסי העבודה בסביבת הביצוע מהדור השני לפני שמפעילים את Cloud Run Threat Detection.
כדי להפעיל זיהוי איומים בזמן ריצה בשירות, צריך לפרוס עדכון שמגדיר את סביבת ההפעלה של השירות לדור השני או לסביבת ההפעלה שמוגדרת כברירת מחדל.

סביבות ביצוע נתמכות למזהים של מישור הבקרה

גלאי מישור הבקרה תומכים בסביבות ביצוע של דור ראשון ודור שני.

איך פועלת התכונה 'זיהוי איומים בזמן ריצה' ב-Cloud Run

כשמפעילים את התכונה 'זיהוי איומים ב-Cloud Run', היא אוספת נתוני טלמטריה ממשאבי Cloud Run נתמכים כדי לנתח תהליכים, סקריפטים וספריות שעשויים להצביע על מתקפה בזמן ריצה. זהו נתיב הביצוע כשמזוהים אירועים:

התכונה 'זיהוי איומים ב-Cloud Run' משתמשת בתהליך מעקב כדי לאסוף מידע על קונטיינרים ואירועים למשך כל משך הפעילות של עומס העבודה ב-Cloud Run.
התכונה Cloud Run Threat Detection מנתחת את פרטי האירועים שנאספים כדי לקבוע אם אירוע מסוים מעיד על תקרית. הוא משתמש ב-NLP כדי לנתח סקריפטים של Bash ו-Python ולחפש בהם קוד זדוני.
- אם Cloud Run Threat Detection מזהה אירוע, הוא מדווח על האירוע כממצא ב-Security Command Center.
- אם התכונה 'זיהוי איומים ב-Cloud Run' לא מזהה אירוע, לא נשמר מידע.
- כל הנתונים שנאספים הם זמניים ולא מאוחסנים באופן קבוע.

במאמר בדיקת הממצאים מוסבר איך בודקים את הממצאים של Cloud Run Threat Detection במסוףGoogle Cloud .

בעיות מוכרות

אם תהליך הצפייה מפסיק לפני הזמן במופע פעיל של שירות או משימה ב-Cloud Run, תהליך הצפייה לא יופעל מחדש. המופע מפסיק לשלוח מידע טלמטרי לזיהוי איומים ב-Cloud Run. יומני זיהוי האיומים של Cloud Run לא מופיעים ביומני המופעים. אין אינדיקציה לכך שתהליך הצפייה הופסק.

מזהים

בקטע הזה מפורטים הגלאים של זמן הריצה ושל מישור הבקרה שזמינים. אנחנו מוסיפים גלאים חדשים באופן קבוע כשאיומים חדשים בענן מתגלים.

גלאים בזמן ריצה

התכונה Cloud Run Threat Detection כוללת את הגלאים הבאים בזמן ריצה:

השם המוצג	שם ה-API	תיאור
Command and Control: Steganography Tool Detected	`CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED`	בוצעה הרצה של תוכנית שזוהתה ככלי סטגנוגרפיה שנפוץ בסביבות דמויות Unix, מה שמצביע על ניסיון פוטנציאלי להסתיר תקשורת או העברת נתונים. תוקפים עשויים להשתמש בטכניקות סטגנוגרפיות כדי להטמיע הוראות זדוניות של פיקוד ושליטה (C2) או נתונים שחולצו בקבצים דיגיטליים שנראים תמימים, במטרה לחמוק מניטור וזיהוי אבטחה רגילים. זיהוי השימוש בכלים כאלה הוא קריטי לגילוי פעילות זדונית מוסתרת.
גישה לפרטי כניסה: מציאת Google Cloud פרטי כניסה	`CLOUD_RUN_FIND_GCP_CREDENTIALS`	בוצעה פקודה לחיפוש Google Cloud מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר. תוקף יכול להשתמש בפרטי כניסה גנובים של Google Cloud כדי לקבל גישה לא לגיטימית לנתונים רגישים או למשאבים בסביבת Google Cloud המטרה.
גישה לפרטי כניסה: מודיעין על מפתח GPG	`CLOUD_RUN_GPG_KEY_RECONNAISSANCE`	בוצעה פקודה לחיפוש מפתחות אבטחה של GPG. תוקף יכול להשתמש במפתחות אבטחה של GPG שנגנבו כדי לקבל גישה לא מורשית לתקשורת או לקבצים מוצפנים.
גישה לפרטי כניסה: חיפוש מפתחות פרטיים או סיסמאות	`CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS`	בוצעה פקודה לחיפוש מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי לאיסוף נתוני אימות. תוקפים מחפשים לעיתים קרובות קבצים של פרטי כניסה כדי לקבל גישה לא מורשית למערכות, להרחיב את ההרשאות או לנוע לרוחב בתוך הסביבה. זיהוי פעילות כזו הוא קריטי למניעת פרצות אבטחה.
התחמקות מהגנה: שורת פקודה של קובץ ELF בפורמט Base64	`CLOUD_RUN_BASE64_ELF_FILE_CMDLINE`	בוצע תהליך שמכיל ארגומנט שהוא קובץ ELF (Executable and Linkable Format). אם מזוהה הפעלה של קובץ ELF מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים להעברה לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי לחמוק מזיהוי ולהריץ קוד זדוני שמוטמע בקובץ ELF.
התחמקות מהגנה: סקריפט Python שעבר קידוד Base64 הופעל	`CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט Python בקידוד base64. אם מזוהה ביצוע של סקריפט Python מוצפן, זהו אות לכך שתוקף מנסה להצפין נתונים בינאריים כדי להעביר אותם לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי לחמוק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט Python.
התחמקות מהגנה: סקריפט מעטפת בקידוד Base64 הופעל	`CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט מעטפת בקידוד base64. אם מזוהה הפעלה של סקריפט מעטפת מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים להעברה לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט מעטפת.
התחמקות מהגנה: הפעלת כלי קומפילציה של קוד במאגר	`CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER`	הופעל תהליך להפעלת כלי קומפילציה של קוד בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי ליצור או לשנות קוד הפעלה בהקשר מבודד. תוקפים עשויים להשתמש בקומפיילרים של קוד בתוך קונטיינרים כדי לפתח מטענים ייעודיים (payloads) זדוניים, להזריק קוד לקבצים בינאריים קיימים או ליצור כלים לעקיפת אמצעי אבטחה, והכול תוך פעולה בסביבה פחות מפוקחת כדי להימנע מזיהוי במערכת המארחת.
הפעלה: נוסף קובץ בינארי זדוני שהופעל	`CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם קובץ בינארי זדוני שנוסף מופעל, זה סימן חזק לכך שתוקף שולט בעומס העבודה ומפעיל תוכנה זדונית.
ביצוע: נוספה טעינה של ספרייה זדונית	`CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם ספרייה זדונית שנוספה נטענת, זה סימן חזק לכך שלתוקף יש שליטה בעומס העבודה והוא מריץ תוכנה זדונית.
ביצוע: בוצעה הפעלה של קובץ בינארי זדוני מובנה	`CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי אם קובץ בינארי זדוני מובנה מופעל, זה סימן שהתוקף פורס מאגרי מידע זדוניים. יכול להיות שהם השיגו שליטה במאגר תמונות לגיטימי או בצינור ליצירת קונטיינרים, והחדירו קובץ בינארי זדוני לקובץ אימג' של קונטיינר.
ביצוע: פירצה בקונטיינר	`CLOUD_RUN_CONTAINER_ESCAPE`	בוצע תהליך בקונטיינר בניסיון לצאת מהבידוד של הקונטיינר, באמצעות טכניקות ידועות של בריחה או קבצים בינאריים. סוג כזה של מתקפה יכול לתת לתוקף גישה למערכת המארחת. התהליכים האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם מזוהה ניסיון לפרוץ לקונטיינר, יכול להיות שזה מעיד על כך שתוקף מנצל נקודות חולשה כדי לצאת מהקונטיינר. כתוצאה מכך, התוקף עלול לקבל גישה לא מורשית למערכת המארחת או לתשתית רחבה יותר, ולפגוע בכל הסביבה.
ביצוע: ביצוע ללא קובץ ב-‎ /memfd:	`CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD`	תהליך בוצע באמצעות מתאר קובץ בזיכרון. אם תהליך מופעל מקובץ בזיכרון, יכול להיות שזה מעיד על כך שתוקף מנסה לעקוף שיטות זיהוי אחרות כדי להריץ קוד זדוני.
ביצוע: הפעלת כלי לתקיפת Kubernetes	`CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION`	כלי תקיפה ספציפי ל-Kubernetes הופעל בסביבה, מה שיכול להצביע על כך שתוקף מכוון לרכיבי אשכול Kubernetes. כלי התקיפה האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם כלי תקיפה מופעל בסביבת Kubernetes, יכול להיות שהתוקף קיבל גישה לאשכול ומשתמש בכלי כדי לנצל חולשות או הגדרות ספציפיות ל-Kubernetes.
ביצוע: הפעלת כלי סיור מקומי	`CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION`	בוצעה הפעלה של כלי סיור מקומי שלא משויך בדרך כלל למאגר או לסביבה, מה שמצביע על ניסיון לאסוף מידע פנימי על המערכת. כלי הסיור האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם מופעל כלי סיור, זה מרמז שהתוקף מנסה למפות את התשתית, לזהות נקודות חולשה או לאסוף נתונים על הגדרות המערכת כדי לתכנן את השלבים הבאים.
ביצוע: קוד Python זדוני בוצע	`CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED`	מודל ללמידת מכונה זיהה את קוד Python שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Python כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Python שהופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות קוד Python מוכר וחדש. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה.
ביצוע: קובץ בינארי זדוני שונה הופעל	`CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם מופעל קובץ בינארי זדוני שעבר שינוי, זה סימן חזק לכך שתוקף שולט בעומס העבודה ומפעיל תוכנה זדונית.
ביצוע: נטען ספרייה זדונית שעברה שינוי	`CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם נטען ספרייה זדונית שעברה שינוי, זה סימן חזק לכך שתוקף שולט בעומס העבודה ומריץ תוכנה זדונית.
ביצוע: הרצת קוד מרחוק של Netcat במאגר	`CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER`	הכלי Netcat, כלי רב-תכליתי לרשתות, הופעל בסביבת הקונטיינר, מה שעשוי להצביע על ניסיון ליצור גישה מרחוק לא מורשית או לחלץ נתונים. השימוש ב-Netcat בסביבה מבוססת-קונטיינרים עשוי להצביע על ניסיון של תוקף ליצור מעטפת הפוכה, לאפשר תנועה רוחבית או להריץ פקודות שרירותיות, מה שעלול לפגוע בשלמות המערכת.
ביצוע: אפשרות להרצת פקודות שרירותיות דרך CUPS‏ (CVE-2024-47177)	`CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS`	הכלל הזה מזהה את התהליך `foomatic-rip` שמבצע תוכניות מעטפת נפוצות, מה שעשוי להצביע על כך שתוקף ניצל את CVE-2024-47177. ‫`foomatic-rip` הוא חלק מ-OpenPrinting CUPS, שירות הדפסה בקוד פתוח שכלול בהרבה הפצות של לינוקס. ברוב תמונות המאגר, שירות ההדפסה הזה מושבת או מוסר. אם הזיהוי הזה קיים, צריך לבדוק אם זו התנהגות מכוונת או להשבית את השירות באופן מיידי.
ביצוע: זוהה ביצוע אפשרי של פקודה מרחוק	`CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED`	זוהה תהליך שיוצר פקודות UNIX נפוצות דרך חיבור שקע ברשת, מה שמצביע על ניסיון פוטנציאלי ליצור יכולות של הפעלת פקודות מרחוק לא מורשית. תוקפים משתמשים לעיתים קרובות בטכניקות שמחקות מעטפת הפוכה כדי לקבל שליטה אינטראקטיבית במערכת שנפרצה, וכך הם יכולים להריץ פקודות שרירותיות מרחוק ולעקוף אמצעי אבטחה סטנדרטיים ברשת, כמו הגבלות של חומת אש. זיהוי של ביצוע פקודה דרך שקע הוא אינדיקטור חזק לגישה מרחוק זדונית.
ביצוע: הפעלת תוכנית עם סביבת Proxy ל-HTTP לא מורשית	`CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV`	תוכנית הופעלה עם משתנה סביבה של שרת proxy מסוג HTTP שלא מורשה. זה יכול להצביע על ניסיון לעקוף אמצעי בקרה לאבטחה, להפנות תנועה למטרות זדוניות או להעביר נתונים דרך ערוצים לא מורשים. תוקפים עשויים להגדיר שרתי proxy של HTTP שלא מורשים ליירט מידע רגיש, לנתב תנועה דרך שרתים זדוניים או ליצור ערוצי תקשורת סמויים. זיהוי ההפעלה של תוכניות עם משתני הסביבה האלה הוא חיוני לשמירה על אבטחת הרשת ולמניעת פרצות אבטחה.
ביצוע: זוהה reverse shell של Socat	`CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED`	הפקודה `socat` שימשה ליצירת reverse shell. הכלל הזה מזהה את ההפעלה `socat` כדי ליצור מעטפת הפוכה על ידי הפניה מחדש של מתארים של קבצים מסוג stdin,‏ stdout ו-stderr. זוהי טכניקה נפוצה שמשמשת תוקפים כדי לקבל גישה מרחוק למערכת שנפרצה.
ביצוע: נטען אובייקט משותף חשוד של OpenSSL	`CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED`	בוצעה הפעלה של OpenSSL כדי לטעון אובייקט משותף מותאם אישית. תוקפים עשויים לטעון ספריות מותאמות אישית ולהחליף ספריות קיימות שמשמשות את OpenSSL כדי להריץ קוד זדוני. השימוש בה בסביבת ייצור הוא נדיר, וצריך לבצע בדיקה מיידית.
העברה לא מורשית: הפעלת כלי העתקת קבצים מרחוק בקונטיינר	`CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER`	זוהתה הרצה של כלי להעתקת קבצים מרחוק בתוך המאגר, מה שמצביע על זליגת נתונים פוטנציאלית, תנועה רוחבית או פריסה של מטענים ייעודיים (payloads) זדוניים. התוקפים משתמשים בכלים האלה כדי להעביר מידע אישי רגיש מחוץ לקונטיינר, לנוע לרוחב בתוך הרשת כדי לפגוע במערכות אחרות או להחדיר תוכנות זדוניות כדי לבצע פעילויות זדוניות נוספות. זיהוי השימוש בכלי העתקת קבצים מרחוק הוא חיוני למניעת פרצות באבטחת מידע, גישה לא מורשית וסיכון נוסף של הקונטיינר, ואולי גם של מערכת המארח.
השפעה: זיהוי של שורות פקודה זדוניות	`CLOUD_RUN_DETECT_MALICIOUS_CMDLINES`	פקודה בוצעה עם ארגומנטים שידוע שהם עלולים להיות הרסניים, כמו ניסיונות למחוק קבצי מערכת קריטיים או לשנות הגדרות שקשורות לסיסמאות. תוקפים עשויים להנפיק שורות פקודה זדוניות כדי לגרום לחוסר יציבות במערכת, למנוע שחזור על ידי מחיקת קבצים חיוניים או להשיג גישה לא מורשית על ידי מניפולציה של פרטי כניסה של משתמשים. זיהוי דפוסי הפקודות הספציפיים האלה הוא קריטי למניעת השפעה משמעותית על המערכת.
השפעה: הסרת נתונים בכמות גדולה מהדיסק	`CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK`	זוהה תהליך שמבצע פעולות של מחיקת נתונים בכמות גדולה, מה שעשוי להצביע על ניסיון למחוק ראיות, לשבש שירותים או לבצע מתקפה של מחיקת נתונים בסביבת הקונטיינר. תוקפים עשויים להסיר כמויות גדולות של נתונים כדי לטשטש את עקבותיהם, לחבל בפעולות או להתכונן לפריסת תוכנת כופר. זיהוי פעילות כזו עוזר לזהות איומים פוטנציאליים לפני שמתרחש אובדן נתונים קריטי.
השפעה: פעילות חשודה של כריית מטבעות קריפטוגרפיים באמצעות פרוטוקול Stratum	`CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL`	זוהה תהליך שמתקשר באמצעות פרוטוקול Stratum, שמשמש בדרך כלל תוכנות לכריית מטבעות קריפטוגרפיים. הפעילות הזו מצביעה על פעולות כרייה לא מורשות פוטנציאליות בסביבת המאגר. תוקפים מפעילים לעיתים קרובות כריית מטבעות קריפטוגרפיים כדי לנצל משאבי מערכת לרווח כספי, מה שמוביל לירידה בביצועים, לעלייה בעלויות התפעול ולסיכוני אבטחה פוטנציאליים. זיהוי פעילות כזו עוזר לצמצם את הסיכון לניצול לרעה של משאבים ולגישה לא מורשית.
הופעל סקריפט זדוני	`CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED`	מודל של למידת מכונה זיהה את קוד ה-Bash שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Bash כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Bash שמופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות קוד Bash זדוני מוכר וחדש. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה.
זוהתה כתובת URL זדונית	`CLOUD_RUN_MALICIOUS_URL_OBSERVED`	התכונה 'זיהוי איומים' ב-Cloud Run זיהתה כתובת URL זדונית ברשימת הארגומנטים של תהליך שפועל. הכלי לבדיקת כתובות URL בודק כתובות URL שנצפו ברשימת הארגומנטים של תהליכים פעילים מול רשימות של משאבי אינטרנט לא בטוחים שמתוחזקות על ידי שירות הגלישה הבטוחה של Google. אם כתובת URL מסווגת בטעות כאתר פישינג או כתוכנה זדונית, אפשר לדווח על כך ב דיווח על נתונים שגויים.
הסלמת הרשאות: ניצול לרעה של Sudo להסלמת הרשאות (CVE-2019-14287)	`CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION`	הפעולה `sudo` בוצעה עם ארגומנטים שמנסים להרחיב את ההרשאות. הזיהוי הזה מתריע על ניסיון לנצל את CVE-2019-14287, שמאפשר הסלמת הרשאות (privilege escalation) באמצעות ניצול לרעה של הפקודה `sudo`. בגרסאות `sudo` שקודמות לגרסה v1.8.28 הייתה פרצה שאפשרה להסלים את ההרשאות של משתמשים שאינם משתמשי Root להרשאות של משתמש Root.
הסלמת הרשאות: הפעלה ללא קבצים ב-‎ /dev/shm	`CLOUD_RUN_FILELESS_EXECUTION_DETECTION_SHM`	בוצע תהליך מנתיב בתוך `/dev/shm`. אם תוקף יפעיל קובץ מ-`/dev/shm`, הוא יוכל להפעיל קוד זדוני מהספרייה הזו כדי להתחמק מזיהוי על ידי כלי אבטחה, וכך לבצע התקפות של העלאת הרשאות או הזרקת תהליכים.
הסלמת הרשאות (privilege escalation): נקודת חולשה של הסלמת הרשאות מקומיות ב-Polkit‏ (CVE-2021-4034)	`CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY`	משתמש שאינו משתמש root הפעיל את הפקודה `pkexec` עם משתני סביבה שמנסים להסלים את ההרשאות. הכלל הזה מזהה ניסיון לנצל נקודת חולשה של הסלמת הרשאות (CVE-2021-4034) ב-`pkexec` של Polkit. על ידי הרצת קוד שנוצר במיוחד, משתמשים ללא הרשאות root יכולים לנצל את הפגם הזה כדי לקבל הרשאות root במערכת שנפרצה.
הסלמת הרשאות: פוטנציאל להסלמת הרשאות ב-Sudo‏ (CVE-2021-3156)	`CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION`	משתמש שאינו משתמש root ביצע את הפקודה `sudo` או `sudoedit` עם תבנית של ארגומנטים שמנסים להסלים הרשאות. מזהה ניסיון לנצל נקודת חולשה שמשפיעה על `sudo` בגרסה 1.9.5p2 ובגרסאות קודמות. הרצה של `sudo` או `sudoedit` עם ארגומנטים מסוימים, כולל ארגומנט שמסתיים בתו נטוי הפוך בודד, בתור משתמש ללא הרשאות, יכולה להעלות את ההרשאות של המשתמש לרמת משתמש root.
Reverse Shell	`CLOUD_RUN_REVERSE_SHELL`	תהליך התחיל עם הפניית זרם לשקע מרוחק מחובר. הגלאי מחפש `stdin` שקשור לשקע מרוחק. באמצעות reverse shell, תוקף יכול לתקשר מעומס עבודה שנפרץ למכונה שנמצאת בשליטת התוקף. לאחר מכן התוקף יכול לשלוט בעומס העבודה ולתת לו פקודות – למשל, כחלק מרשת בוטים.
Unexpected Child Shell	`CLOUD_RUN_UNEXPECTED_CHILD_SHELL`	תהליך שבדרך כלל לא מפעיל מעטפות הפעיל תהליך של מעטפת. הכלי לזיהוי עוקב אחרי כל ההפעלות של התהליכים. כשמפעילים מעטפת, הגלאי יוצר ממצא אם ידוע שתהליך האב בדרך כלל לא מפעיל מעטפות.

גלאים במישור הבקרה

הגלאים הבאים של מישור הבקרה זמינים דרך Event Threat Detection. הגלאים האלה מופעלים כברירת מחדל. הניהול של הגלאים האלה מתבצע באותו אופן כמו של גלאים אחרים של Event Threat Detection. מידע נוסף זמין במאמר בנושא שימוש ב-Event Threat Detection.

השם המוצג	שם ה-API	סוגים של מקורות יומנים	תיאור
השפעה: פקודות לכריית מטבע וירטואלי	`CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS`	יומני ביקורת של Cloud: יומני ביקורת של אירועים במערכת IAM	פקודות ספציפיות לכריית מטבע וירטואלי צורפו למשימת Cloud Run במהלך ההרצה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
ביצוע: קובץ אימג' של Docker לכריית מטבע וירטואלי	`CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES`	יומני ביקורת של Cloud: יומני ביקורת של אירועים במערכת IAM	תמונות ספציפיות של Docker שמוכרות כבעייתיות צורפו לשירות או למשימה חדשים או קיימים של Cloud Run. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת רמת הרשאה: חשבון השירות שמוגדר כברירת המחדל של Compute Engine ‏SetIAMPolicy	`CLOUD_RUN_SERVICES_SET_IAM_POLICY`	יומני ביקורת של Cloud: יומני Admin Activity	חשבון השירות שמוגדר כברירת מחדל ב-Compute Engine שימש להגדרת מדיניות IAM בשירות Cloud Run. זו פעולה פוטנציאלית אחרי ניצול לרעה, כשמזהים פגיעה באסימון של Compute Engine משירות ללא שרת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

מידע על כללים שהוצאו משימוש וכללים שהופסקה התמיכה בהם זמין במאמר הוצאה משימוש.