A Deteção de ameaças do Cloud Run é um serviço integrado do Security Command Center que monitoriza continuamente o estado dos recursos do Cloud Run suportados para detetar os ataques de tempo de execução mais comuns. Se a Cloud Run Threat Detection detetar um ataque, gera uma descoberta no Security Command Center praticamente em tempo real.
Os detetores de tempo de execução da Deteção de Ameaças do Cloud Run monitorizam os recursos do Cloud Run para detetar binários e bibliotecas suspeitos, e usam o processamento de linguagem natural (PLN) para detetar código Bash e Python malicioso.
Além disso, os detetores do plano de controlo estão disponíveis através da Deteção de ameaças de eventos. Estes detetores monitorizam o fluxo do Cloud Logging da sua organização ou projetos para detetar potenciais ataques ao plano de controlo dos seus recursos do Cloud Run.
Recursos suportados
A Deteção de ameaças do Cloud Run monitoriza os seguintes recursos:
Ambientes de execução suportados
Os ambientes de execução suportados diferem para os detetores de tempo de execução e os detetores do plano de controlo.
Ambientes de execução suportados para detetores de tempo de execução
Os detetores de tempo de execução da Deteção de ameaças do Cloud Run só suportam recursos do Cloud Run que são executados no ambiente de execução de segunda geração. Tenha em consideração o seguinte antes de ativar a Deteção de ameaças do Cloud Run:
Quando ativa a Deteção de ameaças do Cloud Run, não pode criar um serviço ou uma revisão de serviço do Cloud Run que seja executado no ambiente de execução de primeira geração. O serviço do Cloud Run tem de usar o ambiente de execução de segunda geração. Recomendamos que teste as suas cargas de trabalho no ambiente de execução de segunda geração antes de ativar a Deteção de ameaças do Cloud Run.
Para ativar a deteção de ameaças em tempo de execução para um serviço, implemente uma revisão que defina o ambiente de execução do serviço para a segunda geração ou o ambiente de execução predefinido.
Ambientes de execução suportados para detetores do plano de controlo
Os detetores do plano de controlo suportam ambientes de execução de primeira e segunda geração.
Como funciona a deteção de ameaças em tempo de execução do Cloud Run Threat Detection
Quando ativa a Deteção de ameaças do Cloud Run, esta recolhe telemetria dos recursos do Cloud Run suportados para analisar processos, scripts e bibliotecas que possam indicar um ataque em tempo de execução. Segue-se o caminho de execução quando são detetados eventos:
- A Deteção de ameaças do Cloud Run usa um processo de monitorização para recolher informações de contentores e eventos durante toda a duração de uma carga de trabalho do Cloud Run.
A Deteção de ameaças do Cloud Run analisa as informações de eventos recolhidas para determinar se um evento é indicativo de um incidente. Usa PNL para analisar scripts Bash e Python em busca de código malicioso.
Se a Deteção de ameaças do Cloud Run identificar um incidente, comunica-o como uma descoberta no Security Command Center.
Se a Deteção de ameaças do Cloud Run não identificar um incidente, não são armazenadas informações.
Todos os dados recolhidos são temporários e não são armazenados de forma persistente.
Para obter informações sobre como rever as conclusões da Deteção de ameaças do Cloud Run na Google Cloud consola, consulte o artigo Reveja as conclusões.
Problemas conhecidos
- Se o processo de monitorização parar prematuramente numa instância em execução do seu serviço ou tarefa do Cloud Run, o processo de monitorização não é reiniciado. A instância deixa de enviar informações de telemetria para a Deteção de ameaças do Cloud Run. Os registos da Deteção de ameaças do Cloud Run estão ausentes dos registos da instância. Não existe nenhum indicador de que um processo de monitorização tenha parado.
Detetores
Esta secção lista os detetores de tempo de execução e plano de controlo disponíveis. Adicionamos regularmente novos detetores à medida que surgem novas ameaças na nuvem.
Detetores de tempo de execução
A Deteção de ameaças do Cloud Run inclui os seguintes detetores de tempo de execução:
Nome a apresentar | Nome da API | Descrição |
---|---|---|
Execução: Added Malicious Binary Executed | CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso adicionado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
Execução: Added Malicious Library Loaded | CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa adicionada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
Execução: binário malicioso incorporado executado | CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso incorporado, é um sinal de que o atacante está a implementar contentores maliciosos. Podem ter obtido o controlo de um repositório de imagens ou de um pipeline de compilação de contentores legítimo e injetado um ficheiro binário malicioso na imagem do contentor. |
Execução: fuga do contentor | CLOUD_RUN_CONTAINER_ESCAPE |
Foi executado um processo no contentor que tentou sair do isolamento do contentor, usando técnicas de saída ou ficheiros binários conhecidos. Este tipo de ataque pode dar ao atacante acesso ao sistema anfitrião. Estes processos são identificados como potenciais ameaças com base em dados de inteligência. Se for detetada uma tentativa de fuga do contentor, pode indicar que um atacante está a explorar vulnerabilidades para sair do contentor. Como resultado, o atacante pode obter acesso não autorizado ao sistema de anfitrião ou à infraestrutura mais ampla, comprometendo todo o ambiente. |
Execução: execução da ferramenta de ataque do Kubernetes | CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION |
Foi executada uma ferramenta de ataque específica do Kubernetes no ambiente, o que pode indicar que um atacante está a segmentar componentes do cluster do Kubernetes. Estas ferramentas de ataque são identificadas como potenciais ameaças com base em dados de inteligência. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, pode sugerir que um atacante obteve acesso ao cluster e está a usar a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. |
Execução: execução da ferramenta de reconhecimento local | CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Foi executada uma ferramenta de reconhecimento local normalmente não associada ao contentor ou ao ambiente, o que sugere uma tentativa de recolher informações internas do sistema. Estas ferramentas de reconhecimento são identificadas como potenciais ameaças com base em dados de inteligência. Se for executada uma ferramenta de reconhecimento, sugere que o atacante pode estar a tentar mapear a infraestrutura, identificar vulnerabilidades ou recolher dados sobre as configurações do sistema para planear os passos seguintes. |
Execução: Python malicioso executado | CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED |
Um modelo de aprendizagem automática identificou o código Python especificado como malicioso. Os atacantes podem usar o Python para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. O detetor usa técnicas de PNL para avaliar o conteúdo do código Python executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Python conhecido e novo. |
Execução: ficheiro binário malicioso modificado executado | CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um binário malicioso modificado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
Execução: biblioteca maliciosa modificada carregada | CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa modificada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. |
Script malicioso executado | CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED |
Um modelo de aprendizagem automática identificou o código Bash especificado como malicioso. Os atacantes podem usar o Bash para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. O detetor usa técnicas de PNL para avaliar o conteúdo do código Bash executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar código Bash malicioso conhecido e novo. |
URL malicioso observado | CLOUD_RUN_MALICIOUS_URL_OBSERVED |
A Deteção de ameaças do Cloud Run observou um URL malicioso na lista de argumentos de um processo em execução. O detetor verifica os URLs observados na lista de argumentos dos processos em execução relativamente às listas de recursos Web não seguros mantidas pelo serviço de Navegação Segura da Google. Se um URL for classificado incorretamente como um site de phishing ou software malicioso, denuncie-o em Denunciar dados incorretos. |
Reverse Shell | CLOUD_RUN_REVERSE_SHELL |
Um processo iniciado com o redirecionamento de streams para um soquete ligado remotamente. O detetor procura Com um shell inverso, um atacante pode comunicar a partir de uma carga de trabalho comprometida para uma máquina controlada pelo atacante. Em seguida, o atacante pode dar comandos e controlar a carga de trabalho, por exemplo, como parte de uma botnet. |
Unexpected Child Shell | CLOUD_RUN_UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. O detetor monitoriza todas as execuções de processos. Quando é invocado um shell, o detetor gera uma descoberta se o processo principal for conhecido por não invocar normalmente shells. |
Detetores do plano de controlo
Os seguintes detetores do plano de controlo estão disponíveis através da Deteção de ameaças de eventos. Estes detetores estão ativados por predefinição. Estes detetores são geridos da mesma forma que os outros detetores de deteção de ameaças de eventos. Para mais informações, consulte o artigo Use a deteção de ameaças de eventos.
Nome a apresentar | Nome da API | Tipos de origens de registos | Descrição |
---|---|---|---|
Impacto: comandos de mineração de criptomoedas | CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexados comandos de mineração de criptomoedas específicos a uma tarefa do Cloud Run durante a execução. Por predefinição, as conclusões são classificadas como gravidade Alta. |
Execução: imagem de Docker de mineração de criptomoedas | CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES |
Cloud Audit Logs: Registos de auditoria de eventos do sistema IAM |
Foram anexadas imagens do Docker específicas conhecidas como más a um serviço ou uma tarefa do Cloud Run novo ou existente. Por predefinição, as conclusões são classificadas como gravidade Alta. |
Elevação de privilégios: Default Compute Engine Service Account SetIAMPolicy | CLOUD_RUN_SERVICES_SET_IAM_POLICY |
Cloud Audit Logs: Registos de atividade do administrador |
A conta de serviço do Compute Engine predefinida foi usada para definir a política IAM para um serviço do Cloud Run. Esta é uma potencial ação pós-exploração quando um token do Compute Engine é comprometido a partir de um serviço sem servidor. Por predefinição, as conclusões são classificadas como gravidade Baixa. |
O que se segue?
- Saiba como usar a deteção de ameaças do Cloud Run.
- Saiba como usar a deteção de ameaças de eventos.
- Saiba como responder a resultados de ameaças do Cloud Run.
- Consulte o índice de resultados de ameaças.