Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על זיהוי איומים בקונטיינר

בדף הזה מובאת סקירה כללית של המושגים והתכונות של זיהוי איומים בקונטיינר.

מהו זיהוי איומים בקונטיינר?

התכונה 'זיהוי איומים בקונטיינרים' היא שירות מובנה של Security Command Center שמנטר באופן רציף את המצב של תמונות צמתים של מערכת הפעלה שמותאמת לקונטיינרים. השירות מעריך את כל השינויים ואת כל הניסיונות לגישה מרחוק כדי לזהות מתקפות בזמן ריצה כמעט בזמן אמת.

התכונה זיהוי איומים בקונטיינר מזהה את המתקפות הנפוצות ביותר בזמן הריצה של קונטיינרים, ושולחת התראות ב-Security Command Center, ובאופן אופציונלי גם ב-Cloud Logging. התכונה 'זיהוי איומים בקונטיינרים' כוללת כמה יכולות זיהוי, כולל קבצים בינאריים וספריות חשודים, והיא משתמשת בעיבוד שפה טבעית (NLP) כדי לזהות קוד זדוני של Bash ו-Python.

התכונה זיהוי איומים בקונטיינר זמינה רק במסלול פרימיום או במסלול Enterprise של Security Command Center.

איך פועל זיהוי איומים בקונטיינר

אינסטרומנטציה של זיהוי איומים בקונטיינר אוספת התנהגות ברמה נמוכה בקרנל של האורח ובסקריפטים שהופעלו. בהמשך מפורט נתיב הביצוע כשמזוהים אירועים:

זיהוי איומים בקונטיינר מעביר מידע על אירועים ומידע שמזהה את הקונטיינר דרך DaemonSet במצב משתמש לשירות גלאי לצורך ניתוח. איסוף האירועים מוגדר באופן אוטומטי כשמפעילים את זיהוי איומים בקונטיינר.

ה-DaemonSet של ה-watcher מעביר את פרטי הקונטיינר כמיטב היכולת. יכול להיות שפרטי המאגר לא יופיעו בממצאים אם מערכת Kubernetes וזמן הריצה של המאגר לא יספקו את פרטי המאגר התואמים בזמן.
שירות הזיהוי מנתח אירועים כדי לקבוע אם אירוע מסוים מעיד על תקרית. תסריטי ה-Bash וה-Python מנותחים באמצעות NLP כדי לקבוע אם הקוד שהופעל הוא זדוני.
אם שירות הגלאי מזהה אירוע, האירוע נרשם כממצא ב-Security Command Center, ואם רוצים, גם ב-Cloud Logging.
- אם שירות הזיהוי לא מזהה אירוע, המידע על הממצאים לא נשמר.
- כל הנתונים בשירותי הליבה והזיהוי הם זמניים ולא נשמרים באופן קבוע.

אפשר לראות את פרטי הממצאים במסוף של Security Command Center ולחקור את המידע שמופיע בהם. היכולת שלכם לצפות בממצאים ולערוך אותם נקבעת לפי התפקידים שהוקצו לכם. מידע נוסף על תפקידים ב-Security Command Center זמין במאמר בנושא בקרת גישה.

לתשומת ליבכם

כשמשתמשים בזיהוי איומים בקונטיינר, כדאי לקחת בחשבון את הנקודות הבאות.

כלים לזיהוי איומי אבטחה

כלים אחרים לזיהוי איומי אבטחה שמותקנים באשכול עלולים לפגוע בביצועים של התכונה 'זיהוי איומים בקונטיינרים' ולגרום לה לפעול בצורה לא תקינה. אם האשכול כבר מוגן על ידי זיהוי איומים בקונטיינר, מומלץ לא להתקין באשכול כלי אבטחה אחרים לזיהוי איומים.

מזהים של מעקב אחרי קבצים

התכונה 'זיהוי איומים בקונטיינר' כוללת מספר גלאים שעוקבים אחרי פעולות בקבצים כדי לזהות גישה לקבצי מערכת קריטיים או שינוי שלהם. הגלאים האלה עוקבים אחרי פעולות על קבצים שמתרחשות בצומת. עומסי עבודה עם קלט/פלט (I/O) משמעותי של קבצים, כמו מערכות CI/CD, עלולים לסבול מירידה בביצועים כשהמזהים האלה מופעלים. כדי למנוע השפעות לא צפויות, המזהים האלה מושבתים כברירת מחדל. מומלץ להעריך את ההשפעה על עומסי העבודה לפני שמפעילים את אמצעי הזיהוי של ניטור הקבצים בסביבת הייצור.

מזהים מושבתים

הגלאים הבאים מושבתים כברירת מחדל:

Added Binary Executed
Added Library Loaded
Collection: Pam.d Modification (תצוגה מקדימה)
Credential Access: Access Sensitive Files on Nodes (תצוגה מקדימה)
Credential Access: Find Google Cloud Credentials
Defense Evasion: Disable or modify Linux audit system (תצוגה מקדימה)
Defense Evasion: Launch Code Compiler Tool In Container
Defense Evasion: Root Certificate Installed (תצוגה מקדימה)
Execution: Ingress Nightmare Vulnerability Execution (תצוגה מקדימה)
Execution: Program Run with Disallowed HTTP Proxy Env
Execution: Suspicious Cron Modification (תצוגה מקדימה)
Exfiltration: Launch Remote File Copy Tools in Container
Persistence: Modify ld.so.preload (תצוגה מקדימה)

כדי להפעיל את הגלאים האלה, אפשר לעיין במאמר הפעלה או השבתה של מודולים של זיהוי איומים בקונטיינר.

גלאים של זיהוי איומים בקונטיינר

התכונה 'זיהוי איומים בקונטיינר' כוללת את אמצעי הזיהוי הבאים:

גלאי	יחידת לימוד	תיאור	נתוני קלט לזיהוי
נוסף קובץ בינארי שהופעל	`ADDED_BINARY_EXECUTED`	בוצעה הרצה של קובץ בינארי שלא היה חלק מקובץ אימג' של קונטיינר המקורי. אם קובץ בינארי שנוסף מופעל על ידי תוקף, יכול להיות שזה סימן לכך שהתוקף שולט בעומס העבודה ומריץ פקודות שרירותיות. הממצאים מסווגים כבעלי חומרה נמוכה.	הגלאי מחפש קובץ בינארי שמופעל ולא היה חלק מקובץ אימג' של קונטיינר מקורי, או ששונה מקובץ אימג' של קונטיינר מקורי.
‫Added Library Loaded	`ADDED_LIBRARY_LOADED`	ספרייה שלא הייתה חלק מקובץ אימג' של קונטיינר המקורי נטענה. אם ספרייה שנוספה נטענת, יכול להיות שזו אינדיקציה לכך שתוקף השתלט על עומס העבודה ומריץ קוד שרירותי. הממצאים מסווגים כבעלי חומרה נמוכה.	הכלי לזיהוי מחפש ספרייה שנמצאת בתהליך טעינה ולא הייתה חלק מקובץ אימג' של קונטיינר המקורי, או שבוצעו בה שינויים לעומת קובץ אימג' של קונטיינר המקורי.
אוסף: שינוי של Pam.d (תצוגה מקדימה)	`PAM_D_MODIFICATION`	אחד מהקבצים הבינאריים או מקובצי ההגדרות בספרייה `pam.d` עבר שינוי. נעשה שימוש נרחב ב-PAM לאימות ב-Linux. תוקפים עשויים לשנות את הקבצים הבינאריים או את קובצי התצורה כדי ליצור גישה מתמשכת. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי הזה עוקב אחרי שינויים בקבצים של הספרייה המשותפת PAM ובקבצי התצורה הקשורים של ההרשאות.
Command and Control: Steganography Tool Detected	`STEGANOGRAPHY_TOOL_DETECTED`	בוצעה הרצה של תוכנית שזוהתה ככלי סטגנוגרפיה שנפוץ בסביבות דמויות Unix, מה שמצביע על ניסיון פוטנציאלי להסתיר תקשורת או העברת נתונים. תוקפים עשויים להשתמש בטכניקות סטגנוגרפיות כדי להטמיע הוראות זדוניות של פיקוד ושליטה (C2) או נתונים שחולצו בקבצים דיגיטליים שנראים תמימים, במטרה לחמוק מניטור וזיהוי אבטחה רגילים. זיהוי השימוש בכלים כאלה הוא קריטי לגילוי פעילות זדונית מוסתרת. הממצאים מסווגים כבעלי חומרה קריטית.	המזהה הזה עוקב אחרי ההפעלה של כלים ידועים של סטגנוגרפיה. הנוכחות של כלים כאלה מצביעה על מאמץ מכוון להסתיר את התנועה ברשת או להעביר נתונים, ועלולה ליצור ערוצי תקשורת סמויים למטרות זדוניות.
גישה לפרטי כניסה: גישה לקבצים רגישים בצמתים (תצוגה מקדימה)	`ACCESS_SENSITIVE_FILES_ON_NODES`	בוצעה תוכנית שניגשה אל `/etc/shadow` או אל SSH `authorized_keys`. תוקפים עשויים לגשת לקובצי הרשאות כדי להעתיק גיבובים של סיסמאות. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי מחפש גישות לקבצי מערכת רגישים כמו קבצי `/etc/shadow` ו-SSH `authorized_keys`.
גישה לפרטי כניסה: מציאת Google Cloud פרטי כניסה	`FIND_GCP_CREDENTIALS`	בוצעה פקודה לחיפוש Google Cloud מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר. תוקף יכול להשתמש בפרטי כניסה גנובים של Google Cloud כדי לקבל גישה לא לגיטימית לנתונים רגישים או למשאבים בסביבת Google Cloud המטרה. הממצאים מסווגים כבעלי חומרה נמוכה.	הזיהוי הזה עוקב אחרי פקודות `find` או `grep` שמנסות לאתר קבצים שמכילים פרטי כניסה של Google Cloud.
גישה לפרטי כניסה: מודיעין על מפתח GPG	`GPG_KEY_RECONNAISSANCE`	בוצעה פקודה לחיפוש מפתחות אבטחה של GPG. תוקף יכול להשתמש במפתחות אבטחה של GPG שנגנבו כדי לקבל גישה לא מורשית לתקשורת או לקבצים מוצפנים. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי הזה עוקב אחרי פקודות `find` או `grep` שמנסות לאתר מפתחות אבטחה של GPG.
גישה לפרטי כניסה: חיפוש מפתחות פרטיים או סיסמאות	`SEARCH_PRIVATE_KEYS_OR_PASSWORDS`	בוצעה פקודה לחיפוש מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי לאיסוף נתוני אימות. תוקפים מחפשים לעיתים קרובות קבצים של פרטי כניסה כדי לקבל גישה לא מורשית למערכות, להרחיב את ההרשאות או לנוע לרוחב בתוך הסביבה. זיהוי פעילות כזו הוא קריטי למניעת פרצות אבטחה. הממצאים מסווגים כבעלי חומרה נמוכה.	המזהה הזה עוקב אחרי פקודות מוכרות שמשמשות לאיתור מפתחות פרטיים, סיסמאות או קבצים של פרטי כניסה. הימצאות של חיפושים כאלה בסביבה בקונטיינרים עשויה להצביע על ניסיונות איסוף מידע או על פריצה פעילה.
התחמקות מהגנה: שורת פקודה של קובץ ELF בפורמט Base64	`BASE64_ELF_FILE_CMDLINE`	בוצע תהליך שמכיל ארגומנט שהוא קובץ ELF (קובץ הפעלה וקובץ שניתן לקישור). אם מזוהה הפעלה של קובץ ELF מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים כדי להעביר אותם לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בקובץ ELF. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הזיהוי הזה עוקב אחרי ארגומנטים של תהליכים שמכילים `ELF` ושמקודדים ב-Base64.
התחמקות מהגנה: סקריפט Python שעבר קידוד Base64 הופעל	`BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט Python בקידוד base64. אם מזוהה ביצוע של סקריפט Python מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים להעברה לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט Python. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הזיהוי הזה עוקב אחרי ארגומנטים של תהליכים שמכילים צורות שונות של `python -c` ומקודדים ב-Base64.
התחמקות מהגנה: סקריפט מעטפת בקידוד Base64 הופעל	`BASE64_ENCODED_SHELL_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט מעטפת בקידוד base64. אם מזוהה ביצוע של סקריפט מעטפת מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים כדי להעביר אותם לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט מעטפת. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הזיהוי הזה עוקב אחרי ארגומנטים של תהליכים כדי למצוא ארגומנטים שמכילים צורות שונות של פקודות מעטפת בקידוד Base64.
התחמקות מהגנה: השבתה או שינוי של מערכת הביקורת ב-Linux‏ (תצוגה מקדימה)	`DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM`	אחד מקובצי הרישום או התצורה של מערכת הביקורת שונה. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי הזה עוקב אחרי שינויים בהגדרות של רישום ביומן, כמו שינויים בקובצי הגדרות או בפקודות ספציפיות, וגם אחרי השבתה של שירותי רישום ביומן כמו `journalctl` או `auditctl`.
התחמקות מהגנה: הפעלת כלי קומפילציה של קוד במאגר	`LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER`	הופעל תהליך להפעלת כלי קומפילציה של קוד בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי ליצור או לשנות קוד הפעלה בהקשר מבודד. תוקפים עשויים להשתמש בקומפיילרים של קוד בתוך קונטיינרים כדי לפתח מטענים ייעודיים (payloads) זדוניים, להזריק קוד לקבצים בינאריים קיימים או ליצור כלים לעקיפת אמצעי אבטחה, והכול תוך פעולה בסביבה פחות מפוקחת כדי להימנע מזיהוי במערכת המארחת. הממצאים מסווגים כבעלי חומרה נמוכה.	המזהה הזה עוקב אחרי ההפעלה של כלי קומפילציה ידועים של קוד בתוך קונטיינרים. הנוכחות של פעילות כזו מצביעה על ניסיון פוטנציאלי לפתח או לשנות קוד זדוני בתוך הקונטיינר, אולי כטקטיקה להתחמקות מהגנה כדי לשבש רכיבי מערכת או תוכנת לקוח.
Command and Control: Piped Encoded Download	`PIPED_ENCODED_DOWNLOAD`	הפלט של כלי רשת כמו `curl` או `wget` הועבר באמצעות צינור לפקודה `base64 --decode`. תוקפים משתמשים בטכניקה הזו כדי להוריד ולפענח מטען ייעודי (payload) שעבר הסתרה בשלב אחד, וכך הם עשויים לעקוף אמצעי אבטחה שבודקים רק את פקודת ההורדה הראשונית. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הגלאי הזה עוקב אחרי פלט של כלי רשת שמועבר ישירות לפקודה `base64 --decode`.
שליטה וניהול: זוהה ביצוע של קוד מוצפן בצינור	`PIPED_ENCODED_CODE_EXECUTION`	הפלט של הפקודה `base64 --decode` הועבר ישירות לפרש פקודות (למשל, `python`, `bash`). זהו אינדיקטור חזק לפעילות זדונית, שבה קוד מעורפל מפוענח ומופעל באופן מיידי בלי להיכתב לדיסק, וכך הוא חומק מזיהוי מבוסס-קבצים. הממצאים מסווגים כבעלי חומרה גבוהה.	המזהה הזה עוקב אחרי הפלט של הפקודה `base64 --decode` שמועבר ישירות לפרשנים נפוצים.
התחמקות מהגנה: אישור בסיס הותקן (תצוגה מקדימה)	`ROOT_CERTIFICATE_INSTALLED`	אישור בסיס הותקן בצומת. יריבים עשויים להתקין אישור בסיס כדי להימנע מהצגת התראות אבטחה כשהם יוצרים חיבורים לשרתי האינטרנט הזדוניים שלהם. תוקפים יכולים לבצע מתקפות מסוג 'אדם באמצע', וליירט מידע אישי רגיש שמועבר בין הקורבן לבין השרתים של התוקף, בלי להפעיל אזהרות כלשהן. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי הזה עוקב אחרי שינויים בקובץ של אישור הבסיס.
הפעלה: נוסף קובץ בינארי זדוני שהופעל	`ADDED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם קובץ בינארי זדוני שנוסף מופעל, זה סימן חזק לכך שלתוקף יש שליטה בעומס העבודה והוא מפעיל תוכנה זדונית. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש קובץ בינארי שמופעל ולא היה חלק מקובץ אימג' של קונטיינר המקורית, וזוהה כקובץ זדוני על סמך מודיעין איומי סייבר.
ביצוע: נוספה טעינה של ספרייה זדונית	`ADDED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם ספרייה זדונית שנוספה נטענת, זה סימן חזק לכך שתוקף שולט בעומס העבודה ומריץ תוכנה זדונית. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי מחפש ספרייה שנטענה ולא הייתה חלק מקובץ אימג' של קונטיינר המקורית, וזוהתה כזדונית על סמך מודיעין איומי סייבר.
ביצוע: בוצעה הפעלה של קובץ בינארי זדוני מובנה	`BUILT_IN_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי אם מופעל קובץ בינארי זדוני מובנה, זה סימן לכך שהתוקף פורס מאגרי מידע זדוניים. יכול להיות שהם השיגו שליטה במאגר תמונות לגיטימי או בצינור ליצירת קונטיינרים, והחדירו קובץ בינארי זדוני לקובץ אימג' של קונטיינר. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש קובץ בינארי שמופעל ונכלל בקובץ אימג' של קונטיינר המקורי, וזוהה כזדוני על סמך מודיעין איומי סייבר.
ביצוע: פירצה בקונטיינר	`CONTAINER_ESCAPE`	תהליך בוצע במאגר בניסיון לפרוץ את הבידוד של המאגר, מה שעשוי לתת לתוקף גישה למערכת המארחת. אם מזוהה ניסיון לפרוץ לקונטיינר, יכול להיות שזה מעיד על כך שתוקף מנצל נקודות חולשה כדי לצאת מהקונטיינר. כתוצאה מכך, התוקף עלול לקבל גישה לא מורשית למערכת המארחת או לתשתית רחבה יותר, ולפגוע בכל הסביבה. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי עוקב אחרי תהליכים שמנסים לנצל את הגבולות של קונטיינרים באמצעות טכניקות או קבצים בינאריים ידועים. התהליכים האלה מסומנים על ידי מודיעין איומי סייבר כתקיפות פוטנציאליות שמטרתן מערכת המארח הבסיסית.
ביצוע: ביצוע ללא קובץ ב-‎ /memfd:	`FILELESS_EXECUTION_DETECTION_MEMFD`	תהליך בוצע באמצעות מתאר קובץ בזיכרון. אם תהליך מופעל מקובץ בזיכרון, יכול להיות שזה מעיד על כך שתוקף מנסה לעקוף שיטות זיהוי אחרות כדי להריץ קוד זדוני. הממצאים מסווגים כבעלי חומרה גבוהה.	הגלאי עוקב אחרי תהליכים שמופעלים מ-`/memfd:`.
ביצוע: פגיעות ב-Ingress Nightmare (תצוגה מקדימה)	`INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION`	אפשר לזהות את ההרצה של CVE-2025-1974 על ידי מעקב אחר הרצות של Nginx עם ארגומנטים שכוללים הפניות למערכת הקבצים `/proc` בקונטיינר `ingress-nginx`, מה שמצביע על ביצוע פוטנציאלי של קוד מרחוק. סוג כזה של נקודות חולשה עלול לאפשר לגורמים זדוניים להריץ קוד שרירותי בבקר `ingress-nginx`, ועלול להוביל לחשיפה של סודות רגישים של Kubernetes. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הגלאי הזה עוקב אחרי קובץ ה-container‏ `ingress-nginx` כדי לזהות הרצות של Nginx עם ארגומנטים שכוללים הפניות למערכת הקבצים `/proc`, מה שמצביע על הרצה פוטנציאלית של קוד מרחוק.
ביצוע: הפעלת כלי לתקיפת Kubernetes	`KUBERNETES_ATTACK_TOOL_EXECUTION`	כלי תקיפה ספציפי ל-Kubernetes הופעל בסביבה, מה שיכול להצביע על כך שתוקף מכוון לרכיבי אשכול Kubernetes. אם כלי לתקיפה מופעל בסביבת Kubernetes, יכול להיות שתוקף השיג גישה לאשכול ומשתמש בכלי כדי לנצל נקודות חולשה או הגדרות ספציפיות ל-Kubernetes. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש כלי תקיפה של Kubernetes שמופעלים ומזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. הכלי לזיהוי מפעיל התראות כדי לצמצם את הסיכון לפריצות פוטנציאליות באשכול.
ביצוע: הפעלת כלי סיור מקומי	`LOCAL_RECONNAISSANCE_TOOL_EXECUTION`	בוצעה הפעלה של כלי סיור מקומי שלא משויך בדרך כלל למאגר או לסביבה, מה שמצביע על ניסיון לאסוף מידע פנימי על המערכת. אם מופעל כלי סיור, זה מרמז שהתוקף מנסה למפות את התשתית, לזהות נקודות חולשה או לאסוף נתונים על הגדרות המערכת כדי לתכנן את השלבים הבאים. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי עוקב אחרי הרצה של כלי סיור מוכרים בסביבה, שמזוהים באמצעות מודיעין איומי סייבר, שיכול להעיד על הכנה לפעילויות זדוניות יותר.
ביצוע: קוד Python זדוני בוצע	`MALICIOUS_PYTHON_EXECUTED`	מודל ללמידת מכונה זיהה את קוד Python שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Python כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Python שהופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות Python מוכר וחדש.
ביצוע: קובץ בינארי זדוני שונה הופעל	`MODIFIED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם מופעל קובץ בינארי זדוני שעבר שינוי, זהו סימן חזק לכך שתוקף שולט בעומס העבודה ומפעיל תוכנה זדונית. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש קובץ בינארי שמופעל, שנכלל במקור בקובץ אימג' של קונטיינר אבל עבר שינוי במהלך זמן הריצה, וזוהה כזדוני על סמך מודיעין איומי סייבר.
ביצוע: נטען ספרייה זדונית שעברה שינוי	`MODIFIED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של הקונטיינר המקורי השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם נטען ספרייה זדונית שעברה שינוי, זה סימן חזק לכך שתוקף שולט בעומס העבודה ומריץ תוכנה זדונית. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש טעינה של ספריה שנכללה במקור ב קובץ אימג' של קונטיינר, אבל שונתה במהלך זמן הריצה, וזוהתה כזדונית על סמך מודיעין איומי סייבר.
ביצוע: הרצת קוד מרחוק של Netcat במאגר	`NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER`	הכלי Netcat, כלי רב-תכליתי לרשתות, הופעל בסביבת הקונטיינר, מה שעשוי להצביע על ניסיון ליצור גישה מרחוק לא מורשית או לחלץ נתונים. השימוש ב-Netcat בסביבה מבוססת-קונטיינרים עשוי להצביע על ניסיון של תוקף ליצור מעטפת הפוכה, לאפשר תנועה רוחבית או להריץ פקודות שרירותיות, מה שעלול לפגוע בשלמות המערכת. הממצאים מסווגים כבעלי חומרה נמוכה.	הגלאי עוקב אחרי הרצת Netcat בתוך הקונטיינר, כי השימוש בו בסביבות ייצור לא נפוץ ועשוי להצביע על ניסיון לעקוף אמצעי אבטחה או להפעיל פקודות מרחוק.
ביצוע: אפשרות להרצת פקודות שרירותיות דרך CUPS‏ (CVE-2024-47177)	`POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS`	הכלל הזה מזהה את התהליך `footmatic-rip` שמבצע תוכניות מעטפת נפוצות, מה שעשוי להצביע על כך שתוקף ניצל את CVE-2024-47177. ‫`foomatic-rip` הוא חלק מ-OpenPrinting CUPS, שירות הדפסה בקוד פתוח שכלול בהפצות רבות של Linux. ברוב תמונות המאגר, שירות ההדפסה הזה מושבת או מוסר. אם הזיהוי הזה קיים, צריך לבדוק אם זו התנהגות מכוונת או להשבית את השירות באופן מיידי. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי מחפש כל `shell` תהליך שהוא תהליך צאצא של התהליך `foomatic-rip`.
ביצוע: זוהה ביצוע אפשרי של פקודה מרחוק	`POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED`	זוהה תהליך שיוצר פקודות UNIX נפוצות דרך חיבור שקע ברשת, מה שמצביע על ניסיון פוטנציאלי ליצור יכולות של הפעלת פקודות מרחוק לא מורשית. תוקפים משתמשים לעיתים קרובות בטכניקות שמחקות מעטפת הפוכה כדי לקבל שליטה אינטראקטיבית במערכת שנפרצה, וכך הם יכולים להריץ פקודות שרירותיות מרחוק ולעקוף אמצעי אבטחה סטנדרטיים ברשת, כמו הגבלות של חומת אש. זיהוי של ביצוע פקודה דרך שקע הוא אינדיקטור חזק לגישה מרחוק זדונית. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הגלאי הזה עוקב אחרי יצירה של שקעי רשת, ואחרי הפעלה של פקודות מעטפת רגילות של UNIX. הדפוס הזה מצביע על ניסיון ליצור ערוץ סמוי להרצת פקודות מרחוק, שעשוי לאפשר פעילויות זדוניות נוספות במארח שנפרץ.
ביצוע: הפעלת תוכנית עם סביבת Proxy ל-HTTP לא מורשית	`PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV`	תוכנית הופעלה עם משתנה סביבה של שרת proxy מסוג HTTP שלא מורשה. זה יכול להצביע על ניסיון לעקוף אמצעי בקרה לאבטחה, להפנות תנועה למטרות זדוניות או להעביר נתונים דרך ערוצים לא מורשים. תוקפים עשויים להגדיר שרתי proxy של HTTP שלא מורשים ליירט מידע רגיש, לנתב תנועה דרך שרתים זדוניים או ליצור ערוצי תקשורת סמויים. זיהוי ההפעלה של תוכניות עם משתני הסביבה האלה הוא חיוני לשמירה על אבטחת הרשת ולמניעת פרצות אבטחה. הממצאים מסווגים כבעלי חומרה נמוכה.	הגלאי הזה עוקב אחרי הפעלת תוכניות עם משתני סביבה של שרת proxy מסוג HTTP שאסורים באופן ספציפי. השימוש בשרתי proxy האלה, במיוחד אם הוא לא צפוי, יכול להצביע על פעילות זדונית ולדרוש חקירה מיידית.
ביצוע: זוהה reverse shell של Socat	`SOCAT_REVERSE_SHELL_DETECTED`	הפקודה `socat` שימשה ליצירת reverse shell. הכלל הזה מזהה את ההרצה של socat כדי ליצור reverse shell על ידי הפניה מחדש של תיאורי קובצי stdin,‏ stdout ו-stderr. זוהי טכניקה נפוצה שבה תוקפים משתמשים כדי לקבל גישה מרחוק למערכת שנפרצה. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הכלי לזיהוי מחפש כל `shell` תהליך שהוא תהליך צאצא של תהליך `socat`.
ביצוע: שינוי חשוד ב-Cron (תצוגה מקדימה)	`SUSPICIOUS_CRON_MODIFICATION`	בוצע שינוי בקובץ התצורה `cron`. שינויים במשימות של `cron` הם טקטיקה נפוצה שמשמשת תוקפים כדי ליצור גישה מתמשכת למערכות. תוקפים יכולים לנצל שינויים לא מורשים במשימות `cron` כדי להריץ פקודות זדוניות במרווחי זמן ספציפיים, וכך לשמור על גישה למערכת ועל שליטה בה. שינויים כאלה עלולים לא לעורר חשד ולאפשר לתוקפים לבצע פעולות חשאיות לאורך תקופה ממושכת. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי הזה עוקב אחרי קובצי ההגדרות של `cron` כדי לזהות שינויים.
ביצוע: נטען אובייקט משותף חשוד של OpenSSL	`SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED`	בוצעה הפעלה של OpenSSL כדי לטעון אובייקט משותף מותאם אישית. תוקפים עשויים לטעון ספריות מותאמות אישית ולהחליף ספריות קיימות שמשמשות את OpenSSL כדי להריץ קוד זדוני. השימוש בה בסביבת ייצור הוא נדיר, וצריך לבצע בדיקה מיידית. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי הזה עוקב אחרי ההפעלה של הפקודה `openssl engine` כדי לטעון קובצי `openssl engine` בהתאמה אישית.`.so`
העברה לא מורשית: הפעלת כלי העתקת קבצים מרחוק בקונטיינר	`LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER`	זוהתה הרצה של כלי להעתקת קבצים מרחוק בתוך המאגר, מה שמצביע על זליגת נתונים פוטנציאלית, תנועה רוחבית או פריסה של מטענים ייעודיים (payloads) זדוניים. התוקפים משתמשים בכלים האלה כדי להעביר מידע אישי רגיש מחוץ לקונטיינר, לנוע לרוחב בתוך הרשת כדי לפגוע במערכות אחרות או להחדיר תוכנות זדוניות כדי לבצע פעילויות זדוניות נוספות. זיהוי השימוש בכלי העתקת קבצים מרחוק הוא חיוני למניעת פרצות באבטחת מידע, גישה לא מורשית וסיכון נוסף של הקונטיינר, ואולי גם של מערכת המארח. הממצאים מסווגים כבעלי חומרה נמוכה.	גלאי זה עוקב אחרי הרצה של כלים ידועים להעתקת קבצים מרחוק בסביבת הקונטיינר. הנוכחות שלהם, במיוחד אם היא לא צפויה, עשויה להעיד על פעילות זדונית.
השפעה: זיהוי של שורות פקודה זדוניות	`DETECT_MALICIOUS_CMDLINES`	פקודה בוצעה עם ארגומנטים שידוע שהם עלולים להיות הרסניים, כמו ניסיונות למחוק קבצי מערכת קריטיים או לשנות הגדרות שקשורות לסיסמאות. תוקפים עשויים להנפיק שורות פקודה זדוניות כדי לגרום לחוסר יציבות במערכת, למנוע שחזור על ידי מחיקת קבצים חיוניים או להשיג גישה לא מורשית על ידי מניפולציה של פרטי כניסה של משתמשים. זיהוי דפוסי הפקודות הספציפיים האלה הוא קריטי למניעת השפעה משמעותית על המערכת. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי הזה עוקב אחרי הביצוע של ארגומנטים בשורת הפקודה שתואמים לתבניות שמשויכות לנזק למערכת או להסלמת הרשאות. נוכחות של פקודות כאלה מצביעה על ניסיון פעיל פוטנציאלי להשפיע באופן שלילי על הזמינות או האבטחה של המערכת.
השפעה: הסרת נתונים בכמות גדולה מהדיסק	`REMOVE_BULK_DATA_FROM_DISK`	זוהה תהליך שמבצע פעולות של מחיקת נתונים בכמות גדולה, מה שעשוי להצביע על ניסיון למחוק ראיות, לשבש שירותים או לבצע מתקפה של מחיקת נתונים בסביבת הקונטיינר. תוקפים עשויים להסיר כמויות גדולות של נתונים כדי לטשטש את עקבותיהם, לחבל בפעולות או להתכונן לפריסת תוכנת כופר. זיהוי פעילות כזו עוזר לזהות איומים פוטנציאליים לפני שמתרחש אובדן נתונים קריטי. הממצאים מסווגים כבעלי חומרה נמוכה.	הגלאי עוקב אחרי פקודות ותהליכים שקשורים למחיקה של נתונים בכמות גדולה או לכלי מחיקה אחרים של נתונים, כדי לזהות פעילות חשודה שעלולה לפגוע בשלמות המערכת.
השפעה: פעילות חשודה של כריית מטבעות קריפטוגרפיים באמצעות פרוטוקול Stratum	`SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL`	זוהה תהליך שמתקשר באמצעות פרוטוקול Stratum, שמשמש בדרך כלל תוכנות לכריית מטבעות קריפטוגרפיים. הפעילות הזו מצביעה על פעולות כרייה לא מורשות פוטנציאליות בסביבת המאגר. תוקפים מפעילים לעיתים קרובות כריית מטבעות קריפטוגרפיים כדי לנצל את משאבי המערכת לרווח כספי, מה שמוביל לירידה בביצועים, לעלייה בעלויות התפעול ולסיכוני אבטחה פוטנציאליים. זיהוי פעילות כזו עוזר לצמצם את הסיכון לניצול לרעה של משאבים ולגישה לא מורשית. הממצאים מסווגים כבעלי חומרה גבוהה.	הגלאי הזה עוקב אחרי שימוש ידוע בפרוטוקול Stratum בסביבה. מכיוון שבדרך כלל עומסי עבודה חוקיים של קונטיינרים לא משתמשים ב-Stratum, הנוכחות שלו עשויה להצביע על פעולות כרייה לא מורשות או על קונטיינר שנפרץ.
הופעל סקריפט זדוני	`MALICIOUS_SCRIPT_EXECUTED`	מודל של למידת מכונה זיהה את קוד ה-Bash שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Bash כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Bash שמופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות bash זדוני מוכר וחדש.
זוהתה כתובת URL זדונית	`MALICIOUS_URL_OBSERVED`	התכונה 'זיהוי איומים בקונטיינר' זיהתה כתובת URL זדונית ברשימת הארגומנטים של תהליך שפועל. הממצאים מסווגים כבעלי חומרה ברמה בינונית.	הכלי לבדיקת כתובות URL בודק כתובות URL שנצפו ברשימת הארגומנטים של תהליכים פעילים מול רשימות של משאבי אינטרנט לא בטוחים שמתוחזקות על ידי שירות הגלישה הבטוחה של Google. אם כתובת URL מסווגת בטעות כפישינג או כתוכנה זדונית, אפשר לדווח על כך ב דיווח על נתונים שגויים.
התמדה: שינוי ld.so.preload (תצוגה מקדימה)	`MODIFY_LD_SO_PRELOAD`	בוצע ניסיון לשנות את הקובץ `ld.so.preload`. שינויים ב-`ld.so.preload` יכולים לשמש תוקפים לטעינה מראש של ספריות משותפות זדוניות לתוך קבוצת הספריות של המערכת. תוקף יכול להשתמש בזה כדי לחטוף את זרימת הביצוע על ידי טעינת ספריות משלו במהלך ביצוע התוכנית, מה שעלול להוביל להרחבת הרשאות או להתחמקות ממנגנוני הגנה. זהו גלאי לניטור קבצים, ויש לו דרישות ספציפיות לגבי גרסת GKE.	הגלאי הזה עוקב אחרי ניסיונות לשנות את הקובץ ld.so.preload.
הסלמת הרשאות: ניצול לרעה של Sudo להסלמת הרשאות (CVE-2019-14287)	`ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION`	הפעולה `sudo` בוצעה עם ארגומנטים שמנסים להרחיב את ההרשאות. הזיהוי הזה מתריע על ניסיון לנצל את CVE-2019-14287, שמאפשר הסלמת הרשאות באמצעות ניצול לרעה של הפקודה sudo. בגרסאות `sudo` שקודמות לגרסה v1.8.28 הייתה פרצה שאפשרה להסלים את ההרשאות של משתמש שאינו משתמש Root להרשאות של משתמש Root. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי מחפש כל הפעלה של `sudo` שיש לה ארגומנטים `-u#-1` או `-u#4294967295`.
הסלמת הרשאות: הפעלה ללא קבצים ב-‎ /dev/shm	`FILELESS_EXECUTION_DETECTION_SHM`	בוצע תהליך מנתיב בתוך `/dev/shm`. אם תוקף יבצע קובץ מ-`/dev/shm`, הוא יוכל להריץ קוד זדוני מהספרייה הזו כדי להתחמק מזיהוי על ידי כלי אבטחה, וכך לבצע העלאת הרשאות או התקפות של הזרקת תהליכים. הממצאים מסווגים כבעלי חומרה גבוהה.	הכלי לזיהוי מחפש תהליך כלשהו שהופעל מתוך `/dev/shm`
הסלמת הרשאות (privilege escalation): נקודת חולשה של הסלמת הרשאות מקומיות ב-Polkit‏ (CVE-2021-4034)	`POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY`	משתמש שאינו משתמש root הפעיל את הפקודה `pkexec` עם משתני סביבה שמנסים להסלים את ההרשאות. הכלל הזה מזהה ניסיון לנצל נקודת חולשה של הסלמת הרשאות (CVE-2021-4034) ב-`pkexec` של Polkit. על ידי הפעלת קוד שנוצר במיוחד, משתמש ללא הרשאות root יכול לנצל את הפגם הזה כדי לקבל הרשאות root במערכת שנפרצה. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי בעיות מחפש כל הפעלה של `pkexec` שמשתנה הסביבה `GCONV_PATH` מוגדר בה.
הסלמת הרשאות: פוטנציאל להסלמת הרשאות ב-Sudo‏ (CVE-2021-3156)	`SUDO_POTENTIAL_PRIVILEGE_ESCALATION`	משתמש שאינו משתמש root ביצע את הפקודה `sudo` או `sudoedit` עם דפוס של ארגומנטים שמנסים להסלים הרשאות. מזהה ניסיון לנצל נקודת חולשה שמשפיעה על `sudo` בגרסה 1.9.5p2 ובגרסאות קודמות. הרצת הפקודה `sudo` או `sudoedit` עם ארגומנטים מסוימים, כולל ארגומנט שמסתיים בתו נטוי הפוך בודד, בתור משתמש ללא הרשאות, עלולה להעלות את הרשאות המשתמש לרמת משתמש root. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי מחפש ביצוע של `sudo` או `sudoedit` שמנסה להשתמש בארגומנטים שזוהו כחלק מניצול נקודת החולשה CVE-2021-4034.
Reverse Shell	`REVERSE_SHELL`	תהליך התחיל עם הפניית זרם לשקע מרוחק מחובר. באמצעות reverse shell, תוקף יכול לתקשר מעומס עבודה שנפרץ למכונה שנמצאת בשליטת התוקף. לאחר מכן התוקף יכול לשלוט בעומס העבודה ולתת לו פקודות – למשל, כחלק מרשת בוטים. הממצאים מסווגים כבעלי חומרה קריטית.	הגלאי מחפש `stdin` שקשור לשקע מרוחק.
Unexpected Child Shell	`UNEXPECTED_CHILD_SHELL`	תהליך שבדרך כלל לא מפעיל מעטפות הפעיל תהליך של מעטפת. הממצאים מסווגים כבעלי חומרה קריטית.	הכלי לזיהוי עוקב אחרי כל ההפעלות של התהליכים. כשמפעילים מעטפת, הכלי לזיהוי בעיות יוצר ממצא אם ידוע שתהליך האב לא מפעיל בדרך כלל מעטפות.

מודולים לדיווח על משתני סביבה וארגומנטים של CLI בתוצאות

המודולים הבאים מאפשרים לכם לכלול או להחריג משתני סביבה וארגומנטים של CLI בתוצאות של זיהוי איומים בקונטיינרים.

דיווח על משתני סביבה (REPORT_ENVIRONMENT_VARIABLES)
ארגומנטים של CLI בדוח (REPORT_CLI_ARGUMENTS)

הוראות מפורטות במאמרים הבאים: