En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de Container Threat Detection.
¿Qué es Container Threat Detection?
Container Threat Detection es un servicio integrado de Security Command Center que supervisa de forma continua el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios y los intentos de acceso remoto para detectar ataques del entorno de ejecución casi en tiempo real.
Container Threat Detection detecta los ataques más comunes en el entorno de ejecución del contenedor y te alerta en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como objetos binarios y bibliotecas sospechosos, y usa el procesamiento de lenguaje natural (PLN) para detectar código malicioso de Bash y Python.
Container Threat Detection solo está disponible en el nivel Premium o Enterprise de Security Command Center.
Cómo funciona Container Threat Detection
La instrumentación de detección de Container Threat Detection recopila el comportamiento de bajo nivel en el kernel invitado y las secuencias de comandos ejecutadas. A continuación, se muestra la ruta de ejecución cuando se detectan eventos:
Container Threat Detection pasa la información de eventos y la información que identifica el contenedor por un DaemonSet en modo de usuario a un servicio de detector para su análisis. La exportación de eventos se configura de forma automática cuando Container Threat Detection está habilitada.
El DaemonSet observador pasa la información del contenedor de la mejor manera posible. La información del contenedor se puede omitir del hallazgo informado si Kubernetes y el entorno de ejecución del contenedor no entregan la información del contenedor correspondiente a tiempo.
El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente. Las secuencias de comandos de Bash y Python se analizan con PLN para determinar si el código ejecutado es malicioso.
Si el servicio de detector identifica un incidente, el incidente se escribe como un hallazgo en Security Command Center y, de forma opcional, en Cloud Logging.
- Si el servicio de detector no identifica un incidente, no se almacena información del hallazgo.
- Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.
Puedes ver los detalles de los hallazgos en el panel de Security Command Center y, luego, investigar la información del hallazgo. La capacidad para ver y editar hallazgos se determina según los roles que se te otorgan. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Consideraciones
Ten en cuenta la siguiente información cuando uses Container Threat Detection:
Herramientas de detección de seguridad
Otras herramientas de detección de seguridad instaladas en tu clúster pueden afectar el rendimiento de Container Threat Detection y provocar que funcione mal. Te recomendamos que no tengas instaladas otras herramientas de detección de seguridad en tu clúster si este ya está protegido por Container Threat Detection.
Detectores de supervisión de archivos
Container Threat Detection incluye varios detectores que supervisan las operaciones de archivos en busca del acceso o la modificación de archivos importantes del sistema. Estos detectores supervisan las operaciones de archivos que ocurren en el nodo. Las cargas de trabajo con E/S de archivos significativas, como los sistemas de CI/CD, podrían sufrir una degradación del rendimiento cuando estos detectores están habilitados. Para evitar cualquier impacto inesperado, estos detectores están inhabilitados de forma predeterminada. Te recomendamos que evalúes el impacto en cualquier carga de trabajo antes de habilitar los detectores de supervisión de archivos en producción.
Detectores inhabilitados
Los siguientes detectores están inhabilitados de forma predeterminada:
Added Binary ExecutedAdded Library LoadedCollection: Pam.d Modification(Vista previa)Credential Access: Access Sensitive Files on Nodes(Vista previa)Credential Access: Find Google Cloud CredentialsDefense Evasion: Disable or modify Linux audit system(Vista previa)Defense Evasion: Launch Code Compiler Tool In ContainerDefense Evasion: Root Certificate Installed(Vista previa)Execution: Ingress Nightmare Vulnerability Execution(Vista previa)Execution: Program Run with Disallowed HTTP Proxy EnvExecution: Suspicious Cron Modification(Vista previa)Exfiltration: Launch Remote File Copy Tools in ContainerPersistence: Modify ld.so.preload(Vista previa)
Para habilitar estos detectores, consulta Cómo habilitar o inhabilitar los módulos de Container Threat Detection.
Detectores de Container Threat Detection
Container Threat Detection incluye los siguientes detectores:
| Detector | Módulo | Descripción | Entradas para la detección |
|---|---|---|---|
| Se ejecutó el objeto binario agregado | ADDED_BINARY_EXECUTED |
Se ejecutó un objeto binario que no era parte de la imagen del contenedor original. Si un atacante agrega un objeto binario agregado, es posible que tenga el control de la carga de trabajo y ejecute comandos arbitrarios. Los hallazgos se clasifican como de gravedad Baja. |
El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original o se modificó a partir de la imagen del contenedor original. |
| Se cargó la biblioteca agregada | ADDED_LIBRARY_LOADED |
Se cargó una biblioteca que no formaba parte de la imagen del contenedor original. Si se carga una biblioteca agregada, es posible que un atacante tenga el control de la carga de trabajo y ejecute un código arbitrario. Los hallazgos se clasifican como de gravedad Baja. |
El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, o que se modificó a partir de la imagen del contenedor original. |
| Colección: Modificación de Pam.d (vista previa) | PAM_D_MODIFICATION |
Se modificó uno de los objetos binarios o archivos de configuración en el directorio PAM se usa ampliamente para la autenticación en Linux. Los atacantes pueden modificar los objetos binarios o los archivos de configuración para establecer un acceso persistente. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
Este detector observa las modificaciones de los archivos de biblioteca compartida de PAM y los archivos de configuración de autorización relacionados. |
| Comando y control: Se detectó una herramienta de esteganografía | STEGANOGRAPHY_TOOL_DETECTED |
Se ejecutó un programa que se identifica como una herramienta de esteganografía que se encuentra comúnmente en entornos similares a Unix, lo que indica un posible intento de ocultar la comunicación o la transferencia de datos. Los atacantes pueden utilizar técnicas esteganográficas para incorporar instrucciones maliciosas de comando y control (C2) o datos filtrados en archivos digitales aparentemente benignos, con el objetivo de evadir la supervisión y la detección de seguridad estándar. Identificar el uso de estas herramientas es fundamental para descubrir actividades maliciosas ocultas. Los hallazgos se clasifican como de gravedad Extrema. |
Este detector supervisa la ejecución de herramientas de esteganografía conocidas. La presencia de estas herramientas sugiere un esfuerzo deliberado por ofuscar el tráfico de red o filtrar datos, lo que podría establecer canales de comunicación encubiertos con finalidades maliciosas. |
| Acceso a las credenciales: Acceso a archivos sensibles en nodos (vista previa) | ACCESS_SENSITIVE_FILES_ON_NODES |
Se ejecutó un programa que accedió a Los atacantes pueden acceder a los archivos de autorización para copiar los hashes de contraseñas. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
El detector busca accesos a archivos sensibles del sistema, como archivos /etc/shadow y authorized_keys de SSH.
|
| Acceso a credenciales: Buscar credenciales de Google Cloud | FIND_GCP_CREDENTIALS |
Se ejecutó un comando para buscar claves privadas de Google Cloud , contraseñas o cualquier otra credencial sensible en el entorno del contenedor. Un atacante podría usar credenciales Google Cloud robadas para obtener acceso ilegítimo a datos o recursos sensibles dentro del entorno objetivo de Google Cloud . Los hallazgos se clasifican como de gravedad Baja. |
Esta detección supervisa los comandos find o grep que intentan ubicar archivos que contienen credenciales de Google Cloud.
|
| Acceso a credenciales: Reconocimiento de claves GPG | GPG_KEY_RECONNAISSANCE |
Se ejecutó un comando para buscar llaves de seguridad GPG. Un atacante podría usar llaves de seguridad GPG robadas para obtener acceso no autorizado a comunicaciones o archivos encriptados. Los hallazgos se clasifican como de gravedad Extrema. |
Este detector supervisa los comandos find o grep que intentan ubicar las llaves de seguridad GPG.
|
| Acceso a las credenciales: Busca claves privadas o contraseñas | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Se ejecutó un comando para buscar claves privadas, contraseñas o otras credenciales sensibles en el entorno del contenedor, lo que indica un posible intento de recopilación de datos de autenticación. Los atacantes suelen buscar archivos de credenciales para obtener acceso no autorizado a los sistemas, escalar privilegios o moverse de forma lateral dentro del entorno. Detectar este tipo de actividad es fundamental para evitar las violaciones de la seguridad. Los hallazgos se clasifican como de gravedad Baja. |
Este detector supervisa los comandos conocidos que se usan para ubicar claves privadas, contraseñas o archivos de credenciales. La presencia de estas búsquedas en un entorno alojado en contenedores puede sugerir esfuerzos de reconocimiento o una vulneración activa. |
| Evasión de defensa: Línea de comandos de archivo ELF en Base64 | BASE64_ELF_FILE_CMDLINE |
Se ejecutó un proceso que contiene un argumento que es un archivo ELF (formato ejecutable y vinculable). Si se detecta la ejecución de un archivo ELF codificado, es un indicio de que un atacante está intentando codificar datos del objeto binario para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en un archivo ELF. Los hallazgos se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso que contienen ELF y están codificados en base64.
|
| Evasión de defensa: Se ejecutó una secuencia de comandos de Python codificada en Base64 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Se ejecutó un proceso que contiene un argumento que es una secuencia de comandos de Python codificada en base64. Si se detecta la ejecución de una secuencia de comandos de Python codificada, es un indicio de que un atacante está intentando codificar datos del objeto binario para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en una secuencia de comandos de Python. Los hallazgos se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso que contienen varias formas de python -c y están codificados en base64.
|
| Evasión de defensa: Se ejecutó una secuencia de comandos de shell codificada en Base64 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Se ejecutó un proceso que contiene un argumento que es una secuencia de comandos de shell codificada en base64. Si se detecta la ejecución de una secuencia de comandos de shell codificada, es un indicio de que un atacante está intentando codificar datos del objeto binario para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en una secuencia de comandos de shell. Los hallazgos se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso para encontrar cualquiera que contenga varias formas de comandos de shell codificados en base64. |
| Defense Evasion: Inhabilita o modifica el sistema de auditoría de Linux (versión preliminar) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Se modificó uno de los archivos de registro o de configuración del sistema de auditoría. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
Este detector supervisa las modificaciones en los parámetros de configuración de registro, como los cambios en los archivos de configuración o los comandos específicos, así como la inhabilitación de los servicios de registro, como journalctl o auditctl.
|
| Evasión de defensa: Se detectó el lanzamiento de la herramienta de compilador de código en el contenedor | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Se inició un proceso para ejecutar una herramienta de compilador de código dentro del entorno del contenedor, lo que indica un posible intento de compilar o modificar código ejecutable en un contexto aislado. Los atacantes pueden usar compiladores de código dentro de contenedores para desarrollar cargas útiles maliciosas, insertar código en objetos binarios existentes o crear herramientas para omitir los controles de seguridad, todo mientras operan en un entorno menos analizado para evadir la detección en el sistema host. Los hallazgos se clasifican como de gravedad Baja. |
Este detector supervisa la ejecución de herramientas conocidas de compiladores de código dentro de los contenedores. La presencia de este tipo de actividad sugiere un posible intento de modificar o desarrollar un código malicioso dentro del contenedor, posiblemente como una táctica de evasión de defensas para manipular los componentes del sistema o el software del cliente. |
| Defense Evasion: Se instaló el certificado raíz (vista previa) | ROOT_CERTIFICATE_INSTALLED |
Se instaló un certificado raíz en el nodo. Los adversarios pueden instalar un certificado raíz para evitar las alertas de seguridad cuando establecen conexiones con sus servidores web maliciosos. Los atacantes podrían llevar a cabo ataques de intermediario, interceptar datos sensibles intercambiados entre la víctima y los servidores del adversario, sin activar ninguna advertencia. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
Este detector supervisa las modificaciones del archivo de certificado raíz. |
| Ejecución: Se ejecutó un objeto binario malicioso agregado | ADDED_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso agregado, es un indicador claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Se cargó una biblioteca maliciosa agregada | ADDED_MALICIOUS_LIBRARY_LOADED |
Se cargó una biblioteca que cumple con las siguientes condiciones:
Si se carga una biblioteca maliciosa agregada, es un indicador claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, y que se identificó como maliciosa según la inteligencia sobre amenazas. |
| Ejecución: Se ejecutó un objeto binario malicioso integrado | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso integrado, es un signo de que el atacante está implementando contenedores maliciosos. Es posible que estos hayan obtenido el control de un repositorio de imágenes o una canalización de compilación de contenedores legítimos y hayan inyectado un objeto binario malicioso en la imagen del contenedor. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca un objeto binario en ejecución que se incluyó en la imagen del contenedor original y se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Escape del contenedor | CONTAINER_ESCAPE |
Se ejecutó un proceso dentro del contenedor que intentó salir del aislamiento del contenedor, lo que podría darle al atacante acceso al sistema host. Si se detecta un intento de escape del contenedor, es posible que un atacante esté aprovechando vulnerabilidades para salir del contenedor. Como resultado, el atacante podría obtener acceso no autorizado al sistema host o a una infraestructura más amplia, lo que comprometería todo el entorno. Los hallazgos se clasifican como de gravedad Extrema. |
El detector supervisa los procesos que intentan aprovechar los límites del contenedor con objetos binarios o técnicas de escape conocidos. Estos procesos se marcan en la inteligencia sobre amenazas como posibles ataques dirigidos al sistema host subyacente. |
| Ejecución: Se detectó la ejecución sin archivos en /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Se ejecutó un proceso con un descriptor de archivo en la memoria. Si se inicia un proceso desde un archivo en la memoria, puede indicar que un atacante está intentando eludir otros métodos de detección para ejecutar código malicioso. Los hallazgos se clasifican como de gravedad Alta. |
El detector supervisa los procesos que se ejecutan desde /memfd:.
|
| Ejecución: Se detectó la ejecución de vulnerabilidades de Ingress Nightmare (versión preliminar) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
La ejecución de CVE-2025-1974 se puede detectar supervisando las ejecuciones de Nginx con argumentos que incluyen referencias al sistema de archivos
Esta clase de vulnerabilidades puede permitir que los actores maliciosos ejecuten código arbitrario dentro del controlador de Los hallazgos se clasifican como de gravedad Media. |
Este detector supervisa el contenedor ingress-nginx en busca de ejecuciones de Nginx que tengan argumentos que incluyan referencias al sistema de archivos /proc, lo que indica una posible ejecución de código remoto.
|
| Ejecución: Se detectó la ejecución de la herramienta de ataque de Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Se ejecutó una herramienta de ataque específica de Kubernetes en el entorno, lo que podría indicar que un atacante está apuntando a los componentes del clúster de Kubernetes. Si se ejecuta una herramienta de ataque dentro del entorno de Kubernetes, esto podría sugerir que un atacante obtuvo acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o parámetros de configuración específicos de Kubernetes. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca herramientas de ataque de Kubernetes que se estén ejecutando y que se identifiquen como amenazas potenciales según los datos de inteligencia. El detector activa alertas para mitigar posibles vulneraciones en el clúster. |
| Ejecución: Se detectó la ejecución de la herramienta de reconocimiento local | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Se ejecutó una herramienta de reconocimiento local que no suele asociarse con el contenedor o el entorno, lo que sugiere un intento de recopilar información interna del sistema. Si se ejecuta una herramienta de reconocimiento, sugiere que el atacante puede estar intentando asociar la infraestructura, identificar vulnerabilidades o recopilar datos sobre los parámetros de configuración del sistema para planificar sus próximos pasos. Los hallazgos se clasifican como de gravedad Extrema. |
El detector supervisa la ejecución de herramientas de reconocimiento conocidas dentro del entorno, identificadas con la inteligencia sobre amenazas, lo que podría indicar la preparación para actividades más maliciosas. |
| Ejecución: Se ejecutó un código de Python malicioso | MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático identificó el código de Python especificado como malicioso. Los atacantes pueden usar Python para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. Los hallazgos se clasifican como de gravedad Extrema. |
El detector usa técnicas de PLN para evaluar el contenido del código de Python ejecutado. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código de Python conocido y nuevo. |
| Ejecución: Se ejecutó un objeto binario malicioso modificado | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso modificado, es un indicador claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca un objeto binario en ejecución que se incluyó originalmente en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución y se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Se cargó una biblioteca maliciosa modificada | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Se cargó una biblioteca que cumple con las siguientes condiciones:
Si se carga una biblioteca maliciosa modificada, es un indicador claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca una biblioteca que se carga y que originalmente se incluía en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución y se identificó como maliciosa según la inteligencia sobre amenazas. |
| Ejecución: Se detectó la ejecución remota de código de Netcat en un contenedor | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, una utilidad de redes versátil, se ejecutó en el entorno del contenedor, lo que podría indicar un intento de establecer acceso remoto no autorizado o filtrar datos. El uso de Netcat en un entorno alojado en contenedores puede indicar el intento de un atacante de crear una shell inversa, habilitar el movimiento lateral o ejecutar comandos arbitrarios, lo que podría comprometer la integridad del sistema. Los hallazgos se clasifican como de gravedad Baja. |
El detector supervisa la ejecución de Netcat dentro del contenedor, ya que su uso en entornos de producción es poco habitual y puede indicar un intento de eludir los controles de seguridad o ejecutar comandos remotos. |
| Ejecución: Posible ejecución de comandos arbitrarios con CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Esta regla detecta el proceso Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca cualquier proceso shell que sea un proceso secundario del proceso foomatic-rip.
|
| Ejecución: Se detectó una posible ejecución remota de comandos | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Se detectó un proceso que generaba comandos comunes de UNIX con una conexión de socket de red, lo que indica un posible intento de establecer capacidades de ejecución remota de comandos no autorizadas. Los atacantes suelen usar técnicas que imitan shells inversos para obtener control interactivo sobre un sistema comprometido, lo que les permite ejecutar comandos arbitrarios de forma remota y eludir las medidas de seguridad de red estándar, como las restricciones de firewall. La detección de la ejecución de comandos con un socket es un indicador sólido de acceso remoto malicioso. Los hallazgos se clasifican como de gravedad Media. |
Este detector supervisa la creación de sockets de red seguida de la ejecución de comandos estándar de shell de UNIX. Este patrón sugiere un intento de crear un canal encubierto para la ejecución de comandos remotos, lo que podría permitir más actividades maliciosas en el host comprometido. |
| Ejecución: Se detectó la ejecución del programa con entorno de proxy HTTP no permitido | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Se ejecutó un programa con una variable de entorno de proxy HTTP que no está permitida. Esto puede indicar un intento de eludir los controles de seguridad, redireccionar el tráfico con fines maliciosos o extraer datos con canales no autorizados. Los atacantes pueden configurar proxies HTTP no permitidos para interceptar información sensible, enrutar el tráfico con servidores maliciosos o establecer canales de comunicación encubiertos. Detectar la ejecución de programas con estas variables de entorno es fundamental para mantener la seguridad de la red y evitar las violaciones de la seguridad de los datos. Los hallazgos se clasifican como de gravedad Baja. |
Este detector supervisa la ejecución de programas con variables de entorno de proxy HTTP que están específicamente prohibidas. El uso de estos proxies, en especial cuando es inesperado, puede indicar actividad maliciosa y requiere una investigación inmediata. |
| Ejecución: Se detectó una shell inversa de Socat | SOCAT_REVERSE_SHELL_DETECTED |
Se usó el comando Esta regla detecta la ejecución de socat para crear una shell inversa redireccionando los descriptores de archivos stdin, stdout y stderr. Esta es una técnica común que usan los atacantes para obtener acceso remoto a un sistema comprometido. Los hallazgos se clasifican como de gravedad Media. |
El detector busca cualquier proceso shell que sea un proceso secundario de un proceso socat.
|
| Ejecución: Se detectó una modificación sospechosa de Cron (vista previa) | SUSPICIOUS_CRON_MODIFICATION |
Se modificó un archivo de configuración
Las modificaciones en los trabajos de Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
Este detector supervisa los archivos de configuración de cron en busca de modificaciones.
|
| Ejecución: Se cargó un objeto compartido de OpenSSL sospechoso | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
Se ejecutó OpenSSL para cargar un objeto compartido personalizado. Los atacantes pueden cargar bibliotecas personalizadas y reemplazar las bibliotecas existentes que usa OpenSSL para ejecutar código malicioso. Su uso en producción es poco común y debería garantizar una investigación inmediata. Los hallazgos se clasifican como de gravedad Extrema. |
Este detector supervisa la ejecución del comando openssl engine para cargar archivos .so personalizados.
|
| Robo de datos: Se detectó el lanzamiento de herramientas de copia remota de archivos en el contenedor | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Se detectó la ejecución de una herramienta de copia de archivos remota dentro del contenedor, lo que indica un posible robo de datos, movimiento lateral o implementación de cargas útiles maliciosas. Los atacantes suelen usar estas herramientas para transferir datos sensibles fuera del contenedor, moverse de forma lateral dentro de la red para vulnerar otros sistemas o ingresar malware para hacer más actividades maliciosas. Detectar el uso de herramientas de copia de archivos remotos es fundamental para evitar violaciones de la seguridad de los datos, acceso no autorizado y un mayor compromiso del contenedor y, potencialmente, del sistema host. Los hallazgos se clasifican como de gravedad Baja. |
Este detector supervisa la ejecución de herramientas conocidas de copia remota de archivos en el entorno del contenedor. Su presencia, sobre todo cuando es inesperada, puede indicar actividad maliciosa. |
| Impacto: Detecta líneas de comandos maliciosas | DETECT_MALICIOUS_CMDLINES |
Se ejecutó un comando con argumentos que se sabe que son potencialmente destructivos, como intentos de borrar archivos importantes del sistema o modificar los parámetros de configuración relacionados con contraseñas. Los atacantes pueden emitir líneas de comandos maliciosas para causar inestabilidad en el sistema, impedir la recuperación borrando archivos esenciales o manipular las credenciales del usuario para obtener acceso no autorizado. Detectar estos patrones de comandos específicos es fundamental para evitar un impacto significativo en el sistema. Los hallazgos se clasifican como de gravedad Extrema. |
Este detector supervisa la ejecución de argumentos de línea de comandos que coinciden con patrones asociados a daños en el sistema o elevación de privilegios. La presencia de estos comandos indica un posible intento activo de afectar la disponibilidad o la seguridad del sistema. |
| Impacto: Quita datos masivos del disco | REMOVE_BULK_DATA_FROM_DISK |
Se detectó un proceso que llevaba a cabo operaciones de quita masiva de datos, lo que puede indicar un intento de borrar evidencia, interrumpir servicios o ejecutar un ataque de borrado de datos dentro del entorno del contenedor. Los atacantes pueden quitar grandes volúmenes de datos para ocultar sus rastros, sabotear operaciones o prepararse para implementar ransomware. Detectar este tipo de actividad ayuda a identificar posibles amenazas antes de que se produzca una pérdida de datos importantes. Los hallazgos se clasifican como de gravedad Baja. |
El detector supervisa los comandos y procesos asociados con la eliminación masiva de datos o con otras herramientas de borrado de datos para identificar actividad sospechosa que podría comprometer la integridad del sistema. |
| Impacto: Actividad de minería de criptomonedas sospechosa con el protocolo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Se detectó un proceso que se comunica con el protocolo Stratum, que el software de minería de criptomonedas suele usar. Esta actividad sugiere posibles operaciones de minería no autorizadas dentro del entorno del contenedor. Los atacantes suelen implementar mineros de criptomonedas para explotar los recursos del sistema y obtener ganancias económicas, lo que genera un rendimiento deficiente, mayores costos operativos y posibles riesgos de seguridad. Detectar este tipo de actividad ayuda a mitigar el abuso de recursos y el acceso no autorizado. Los hallazgos se clasifican como de gravedad Alta. |
Este detector supervisa el uso conocido del protocolo Stratum en el entorno. Dado que las cargas de trabajo de contenedores legítimas no suelen usar Stratum, su presencia puede indicar operaciones de minería no autorizadas o un contenedor comprometido. |
| Secuencia de comandos maliciosa ejecutada | MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático identificó el código Bash especificado como malicioso. Los atacantes pueden usar secuencias de comandos de Bash para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. Los hallazgos se clasifican como de gravedad Extrema. |
El detector usa técnicas de PLN para evaluar el contenido del código de Bash ejecutado. Dado que este enfoque no se basa en firmas, los detectores pueden identificar Bash malicioso conocido y nuevo. |
| Se detectó una URL maliciosa | MALICIOUS_URL_OBSERVED |
Container Threat Detection observó una URL maliciosa en la lista de argumentos de un proceso en ejecución. Los hallazgos se clasifican como de gravedad Media. |
El detector comprueba las URLs que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si una URL se clasifica de forma incorrecta como phishing o malware, infórmalo en Reporting Incorrect Data. |
| Persistencia: Modifica ld.so.preload (vista previa) | MODIFY_LD_SO_PRELOAD |
Se intentó modificar el archivo
Los atacantes pueden usar los cambios en Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. |
Este detector supervisa los intentos de modificar el archivo ld.so.preload. |
| Elevación de privilegios: Abuso de sudo para la elevación de privilegios (CVE-2019-14287) | ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION |
Se ejecutó
Esta detección notifica un intento de explotación de CVE-2019-14287, que permite la elevación de privilegios con el uso inadecuado del comando sudo.
Las versiones de Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca cualquier ejecución de sudo que tenga argumentos -u#-1 o -u#4294967295.
|
| Elevación de privilegios: Se detectó una ejecución sin archivos en /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Se ejecutó un proceso desde una ruta de acceso dentro de
Si ejecuta un archivo desde Los hallazgos se clasifican como de gravedad Alta. |
El detector busca cualquier proceso que se haya ejecutado desde /dev/shm
|
| Elevación de privilegios: Vulnerabilidad de elevación de privilegios locales de Polkit (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Un usuario no raíz ejecutó
Esta regla detecta un intento de aprovechar una vulnerabilidad de elevación de privilegios (CVE-2021-4034) en Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca cualquier ejecución de pkexec que tenga establecida la variable de entorno GCONV_PATH.
|
| Elevación de privilegios: Se detectó una posible elevación de privilegios con sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Un usuario no raíz ejecutó
Detecta un intento de explotar una vulnerabilidad que afecta a la versión Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca cualquier ejecución de sudo o sudoedit que intente usar argumentos identificados como parte del exploit CVE-2021-4034.
|
| Shells inversas | REVERSE_SHELL |
Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado. Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo, por ejemplo, como parte de una botnet. Los hallazgos se clasifican como de gravedad Extrema. |
El detector busca stdin vinculada a un socket remoto.
|
| Shell secundaria inesperada | UNEXPECTED_CHILD_SHELL |
Un proceso que, por lo general, no invoca shells generó un proceso de shell. Los hallazgos se clasifican como de gravedad Extrema. |
El detector supervisa todas las ejecuciones de procesos. Cuando se invoca una shell, el detector genera un hallazgo si se sabe que el proceso principal no suele invocar shells. |
Módulos para denunciar variables de entorno y argumentos de la CLI en los hallazgos
Los siguientes módulos te permiten incluir o excluir variables de entorno y argumentos de la CLI en los hallazgos de Container Threat Detection.
- Variables de entorno del informe (
REPORT_ENVIRONMENT_VARIABLES) - Argumentos de la CLI del informe (
REPORT_CLI_ARGUMENTS)
Para obtener instrucciones, consulta los siguientes vínculos:
- Excluye las variables de entorno de los hallazgos de Container Threat Detection.
- Excluye los argumentos de la CLI de los hallazgos de Container Threat Detection.
¿Qué sigue?
- Obtén más información para usar Container Threat Detection.
- Obtén más información para probar Container Threat Detection.
- Obtén información para investigar y desarrollar planes de respuesta para las amenazas.
- Obtén más información sobre Artifact Analysis y el análisis de vulnerabilidades.