Présentation de Container Threat Detection

Cette page offre une présentation générale des concepts et fonctionnalités de Container Threat Detection.

Qu'est-ce que Container Threat Detection ?

Container Threat Detection est un service intégré à Security Command Center qui surveille en permanence l'état des images de nœud Container-Optimized OS. Le service évalue toutes les modifications et toutes les tentatives d'accès à distance pour détecter les attaques visant l'environnement d'exécution quasiment en temps réel.

Container Threat Detection détecte les attaques les plus courantes visant l'environnement d'exécution des conteneurs, et vous alerte dans Security Command Center et, éventuellement, dans Cloud Logging. Container Threat Detection inclut plusieurs fonctionnalités de détection, y compris les bibliothèques et les binaires suspects, et utilise le traitement du langage naturel (NLP) pour détecter le code Bash et Python malveillant.

Container Threat Detection n'est disponible qu'avec les niveaux Premium ou Enterprise de Security Command Center.

Fonctionnement de Container Threat Detection

L'instrumentation de détection Container Threat Detection collecte le comportement de bas niveau dans le noyau invité et les scripts exécutés. Voici le chemin d'exécution lorsque des événements sont détectés :

  1. Container Threat Detection transmet les informations sur l'événement et les informations qui identifient le conteneur à un service de détecteur pour analyse via un DaemonSet en mode utilisateur. La collecte d'événements est configurée automatiquement lorsque Container Threat Detection est activé.

    Le DaemonSet du programme d'observation transmet les informations sur les conteneurs au mieux. Les informations sur le conteneur peuvent être supprimées du résultat signalé si Kubernetes et le moteur d'exécution du conteneur ne parviennent pas à fournir les informations correspondantes sur le conteneur à temps.

  2. Le service de détecteur analyse les événements pour déterminer si un événement indique un incident. Les scripts Bash et Python sont analysés avec le TLN afin de déterminer si le code exécuté est malveillant.

  3. Si le service de détecteur identifie un incident, celui-ci est écrit en tant que résultat dans Security Command Center et, éventuellement, dans Cloud Logging.

    • Si le service de détecteur n'identifie pas d'incident, les informations de résultats ne sont pas stockées.
    • Toutes les données du noyau et du service de détecteur sont éphémères et aucune d'entre elles n'est stockée de manière permanente.

Vous pouvez consulter les détails des résultats dans la console Security Command Center et examiner les informations de résultats. Votre capacité à afficher et modifier les résultats est déterminée par les rôles qui vous sont attribués. Pour en savoir plus sur les rôles Security Command Center, consultez la page Contrôle des accès.

Remarques

Tenez compte des points suivants lorsque vous utilisez Container Threat Detection.

Outils de détection de sécurité

D'autres outils de détection de sécurité installés dans votre cluster peuvent nuire aux performances de Container Threat Detection et entraîner son dysfonctionnement. Nous vous recommandons de ne pas installer d'autres outils de détection de sécurité dans votre cluster si celui-ci est déjà protégé par la détection des menaces liées aux conteneurs.

Détecteurs de surveillance des fichiers

Container Threat Detection inclut un certain nombre de détecteurs qui surveillent les opérations sur les fichiers à la recherche d'accès ou de modifications apportées aux fichiers système critiques. Ces détecteurs surveillent les opérations sur les fichiers qui se produisent sur le nœud. Les charges de travail avec des E/S de fichiers importantes, telles que les systèmes CI/CD, peuvent potentiellement subir une dégradation des performances lorsque ces détecteurs sont activés. Pour éviter tout impact inattendu, ces détecteurs sont désactivés par défaut. Nous vous recommandons d'évaluer l'impact sur toute charge de travail avant d'activer les détecteurs de surveillance des fichiers en production.

Détecteurs désactivés

Les détecteurs suivants sont désactivés par défaut :

  • Added Binary Executed
  • Added Library Loaded
  • Collection: Pam.d Modification (preview)
  • Credential Access: Access Sensitive Files on Nodes (preview)
  • Credential Access: Find Google Cloud Credentials
  • Defense Evasion: Disable or modify Linux audit system (preview)
  • Defense Evasion: Launch Code Compiler Tool In Container
  • Defense Evasion: Root Certificate Installed (preview)
  • Execution: Ingress Nightmare Vulnerability Execution (preview)
  • Execution: Program Run with Disallowed HTTP Proxy Env
  • Execution: Suspicious Cron Modification (preview)
  • Exfiltration: Launch Remote File Copy Tools in Container
  • Persistence: Modify ld.so.preload (preview)

Pour activer ces détecteurs, consultez Activer ou désactiver les modules Container Threat Detection.

Détecteurs de Container Threat Detection

Container Threat Detection inclut les détecteurs suivants :

Détecteur Module Description Entrées de détection
Fichier binaire ajouté exécuté ADDED_BINARY_EXECUTED

Un fichier binaire ne faisant pas partie de l'image de conteneur d'origine a été exécuté.

Si un fichier binaire ajouté est exécuté par un pirate informatique, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute des commandes arbitraires.

Les résultats sont classés dans le niveau de gravité faible.

 Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine ou qui a été modifié à partir de l'image de conteneur d'origine.
Ajout de bibliothèque chargée ADDED_LIBRARY_LOADED

Une bibliothèque ne faisant pas partie de l'image de conteneur d'origine a été chargée.

Si une bibliothèque ajoutée est chargée, il est possible qu'un pirate informatique ait le contrôle de la charge de travail et qu'il exécute du code arbitraire.

Les résultats sont classés dans le niveau de gravité faible.

 Le détecteur recherche une bibliothèque en cours de chargement ne faisant pas partie de l'image de conteneur d'origine, ou qui a été modifiée à partir de l'image de conteneur d'origine.
Collection : Modification Pam.d (preview) PAM_D_MODIFICATION

Un des fichiers binaires ou de configuration du répertoire pam.d a été modifié.

PAM est largement utilisé pour l'authentification sous Linux. Les pirates informatiques peuvent modifier les fichiers binaires ou de configuration pour établir un accès permanent.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Ce détecteur surveille les modifications apportées aux fichiers de bibliothèque partagée PAM et aux fichiers de configuration d'autorisation associés.
Commande et contrôle : outil de stéganographie détecté STEGANOGRAPHY_TOOL_DETECTED

Un programme identifié comme un outil de stéganographie couramment utilisé dans les environnements de type Unix a été exécuté, ce qui indique une tentative potentielle de dissimulation de communication ou de transfert de données.

Les pirates informatiques peuvent utiliser des techniques stéganographiques pour intégrer des instructions de commande et de contrôle (C2) malveillantes ou des données exfiltrées dans des fichiers numériques apparemment inoffensifs, dans le but d'échapper à la surveillance et à la détection de sécurité standard. Il est essentiel d'identifier l'utilisation de tels outils pour déceler les activités malveillantes cachées.

Les résultats sont classés dans le niveau de gravité critique.

 Ce détecteur surveille l'exécution d'outils de stéganographie connus. La présence de tels outils suggère un effort délibéré pour masquer le trafic réseau ou exfiltrer des données, ce qui peut établir des canaux de communication secrets à des fins malveillantes.
Accès aux identifiants : accès aux fichiers sensibles sur les nœuds (bêta) ACCESS_SENSITIVE_FILES_ON_NODES

Un programme a été exécuté et a accédé à /etc/shadow ou à SSH authorized_keys.

Les pirates informatiques peuvent accéder aux fichiers d'autorisation pour copier les hachages de mots de passe.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Le détecteur recherche les accès aux fichiers système sensibles tels que les fichiers /etc/shadow et SSH authorized_keys.
Accès aux identifiants : recherche d'identifiants Google Cloud FIND_GCP_CREDENTIALS

Une commande a été exécutée pour rechercher des clés privées, des mots de passe ou d'autres identifiants sensibles dans l'environnement de conteneur. Google Cloud

Un pirate informatique peut utiliser des identifiants Google Cloud volés pour accéder de manière illégitime à des données ou ressources sensibles dans l'environnement Google Cloud ciblé.

Les résultats sont classés dans le niveau de gravité faible.

 Cette détection surveille les commandes find ou grep qui tentent de localiser des fichiers contenant des identifiants Google Cloud.
Accès aux identifiants : reconnaissance des clés GPG GPG_KEY_RECONNAISSANCE

Une commande a été exécutée pour rechercher des clés de sécurité GPG.

Un pirate informatique pourrait utiliser des clés de sécurité GPG volées pour accéder de manière non autorisée à des communications ou des fichiers chiffrés.

Les résultats sont classés dans le niveau de gravité critique.

 Ce détecteur surveille les commandes find ou grep qui tentent de localiser les clés de sécurité GPG.
Accès aux identifiants : rechercher des clés privées ou des mots de passe SEARCH_PRIVATE_KEYS_OR_PASSWORDS

Une commande a été exécutée pour rechercher des clés privées, des mots de passe ou d'autres identifiants sensibles dans l'environnement du conteneur, ce qui indique une tentative potentielle de collecte de données d'authentification.

Les pirates informatiques recherchent souvent des fichiers d'identifiants pour accéder de manière non autorisée à des systèmes, obtenir des droits plus élevés ou se déplacer latéralement dans l'environnement. Il est essentiel de détecter ce type d'activité pour éviter les failles de sécurité.

Les résultats sont classés dans le niveau de gravité faible.

 Ce détecteur surveille les commandes connues utilisées pour localiser les clés privées, les mots de passe ou les fichiers d'identifiants. La présence de telles recherches dans un environnement conteneurisé peut suggérer des efforts de reconnaissance ou une compromission active.
Évasion de la défense : ligne de commande avec fichier ELF en base64 BASE64_ELF_FILE_CMDLINE

Un processus a été exécuté avec un argument de type "fichier ELF (Executable and Linkable Format)".

Si l'exécution d'un fichier ELF encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un fichier ELF.

Les résultats sont classés dans le niveau de gravité moyen.

 Cette détection surveille les arguments de processus qui contiennent ELF et sont encodés en base64.
Évasion de la défense : script Python encodé en base64 exécuté BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED

Un processus a été exécuté avec un argument de type "script Python encodé en base64".

Si l'exécution d'un script Python encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un script Python.

Les résultats sont classés dans le niveau de gravité moyen.

 Cette détection surveille les arguments de processus qui contiennent différentes formes de python -c et sont encodés en base64.
Évasion de la défense : script shell encodé en base64 exécuté BASE64_ENCODED_SHELL_SCRIPT_EXECUTED

Un processus a été exécuté avec un argument de type "script shell encodé en base64".

Si l'exécution d'un script shell encodé est détectée, cela indique qu'un pirate informatique tente d'encoder des données binaires pour les transférer vers des lignes de commande ASCII uniquement. Des pirates informatiques peuvent utiliser cette technique pour échapper à la détection et exécuter du code malveillant intégré à un script shell.

Les résultats sont classés dans le niveau de gravité moyen.

 Cette détection surveille les arguments de processus pour trouver ceux qui contiennent différentes formes de commandes shell encodées en base64.
Defense Evasion : Désactiver ou modifier le système d'audit Linux (aperçu) DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM

Un des fichiers de configuration ou de journalisation du système d'audit a été modifié.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Ce détecteur surveille les modifications apportées aux configurations de journalisation, telles que les modifications apportées aux fichiers de configuration ou à des commandes spécifiques, ainsi que la désactivation des services de journalisation tels que journalctl ou auditctl.
Évasion de la défense : lancer un outil de compilation de code dans un conteneur LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER

Un processus a été lancé pour lancer un outil de compilation de code dans l'environnement de conteneur, ce qui indique une tentative potentielle de compilation ou de modification de code exécutable dans un contexte isolé.

Les pirates informatiques peuvent utiliser des compilateurs de code dans des conteneurs pour développer des charges utiles malveillantes, injecter du code dans des binaires existants ou créer des outils permettant de contourner les contrôles de sécurité. Tout cela se fait dans un environnement moins surveillé afin d'échapper à la détection sur le système hôte.

Les résultats sont classés dans le niveau de gravité faible.

 Ce détecteur surveille l'exécution d'outils de compilation de code connus dans les conteneurs. La présence d'une telle activité suggère un effort potentiel pour développer ou modifier du code malveillant dans le conteneur, peut-être en tant que tactique d'évasion de défense pour altérer les composants du système ou le logiciel client.
Évasion de la défense : certificat racine installé (bêta) ROOT_CERTIFICATE_INSTALLED

Un certificat racine a été installé sur le nœud.

Les pirates informatiques peuvent installer un certificat racine pour éviter les alertes de sécurité lorsqu'ils établissent des connexions vers leurs serveurs Web malveillants. Des pirates informatiques pourraient effectuer des attaques de type "man-in-the-middle" (homme au milieu), en interceptant les données sensibles échangées entre la victime et les serveurs de l'adversaire, sans déclencher d'avertissement.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Ce détecteur surveille les modifications apportées au fichier du certificat racine.
Exécution : binaire malveillant ajouté exécuté ADDED_MALICIOUS_BINARY_EXECUTED

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifié comme étant malveillant selon les renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si un fichier binaire malveillant ajouté est exécuté, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche un fichier binaire en cours d'exécution qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base des renseignements sur les menaces.
Exécution : bibliothèque malveillante ajoutée chargée ADDED_MALICIOUS_LIBRARY_LOADED

Une bibliothèque répondant aux conditions suivantes a été chargée :

  • Identifié comme étant malveillant selon les renseignements sur les menaces
  • Ne fait pas partie de l'image de conteneur d'origine

Si une bibliothèque malveillante ajoutée est chargée, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche une bibliothèque en cours de chargement qui ne fait pas partie de l'image de conteneur d'origine et qui a été identifiée comme malveillante en fonction des renseignements sur les menaces.
Exécution : binaire malveillant intégré exécuté BUILT_IN_MALICIOUS_BINARY_EXECUTED

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifié comme étant malveillant selon les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine

Si un binaire malveillant intégré est exécuté, cela signifie que le pirate informatique déploie des conteneurs malveillants. Ils peuvent avoir pris le contrôle d'un dépôt d'images ou d'un pipeline de compilation de conteneurs légitimes, et injecté un fichier binaire malveillant dans l'image de conteneur.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche un fichier binaire en cours d'exécution qui était inclus dans l'image de conteneur d'origine et qui a été identifié comme malveillant sur la base des renseignements sur les menaces.
Exécution : échappement de conteneur CONTAINER_ESCAPE

Un processus a été exécuté dans le conteneur et a tenté de sortir de l'isolation du conteneur, ce qui a potentiellement permis au pirate informatique d'accéder au système hôte.

Si une tentative d'échappement de conteneur est détectée, cela peut indiquer qu'un pirate informatique exploite des failles pour sortir du conteneur. Par conséquent, l'attaquant peut obtenir un accès non autorisé au système hôte ou à une infrastructure plus large, ce qui compromet l'ensemble de l'environnement.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur surveille les processus qui tentent d'exploiter les limites des conteneurs à l'aide de techniques ou de binaires d'échappement connus. Ces processus sont signalés par les renseignements sur les menaces comme des attaques potentielles ciblant le système hôte sous-jacent.
Exécution : exécution sans fichier dans /memfd : FILELESS_EXECUTION_DETECTION_MEMFD

Un processus a été exécuté à l'aide d'un descripteur de fichier en mémoire.

Si un processus est lancé à partir d'un fichier en mémoire, cela peut indiquer qu'un pirate informatique tente de contourner d'autres méthodes de détection afin d'exécuter du code malveillant.

Les résultats sont classés dans le niveau de gravité élevé.

 Le détecteur surveille les processus exécutés à partir de /memfd:.
Exécution : exécution de la faille IngressNightmare (version bêta) INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION

L'exécution de CVE-2025-1974 peut être détectée en surveillant les exécutions Nginx avec des arguments qui incluent des références au système de fichiers /proc dans le conteneur ingress-nginx, ce qui indique une exécution de code à distance potentielle.

Cette catégorie de failles peut permettre à des personnes malveillantes d'exécuter du code arbitraire dans le contrôleur ingress-nginx, ce qui peut potentiellement entraîner la divulgation de secrets Kubernetes sensibles.

Les résultats sont classés dans le niveau de gravité moyen.

 Ce détecteur surveille le conteneur ingress-nginx pour les exécutions Nginx dont les arguments incluent des références au système de fichiers /proc, ce qui indique une éventuelle exécution de code à distance.
Exécution : exécution d'un outil d'attaque de Kubernetes KUBERNETES_ATTACK_TOOL_EXECUTION

Un outil d'attaque spécifique à Kubernetes a été exécuté dans l'environnement, ce qui peut indiquer qu'un pirate informatique cible les composants du cluster Kubernetes.

Si un outil d'attaque est exécuté dans l'environnement Kubernetes, cela peut suggérer qu'un pirate informatique a obtenu l'accès au cluster et utilise l'outil pour exploiter des failles ou des configurations spécifiques à Kubernetes.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche les outils d'attaque Kubernetes en cours d'exécution et identifiés comme des menaces potentielles en fonction des données de renseignement. Le détecteur déclenche des alertes pour atténuer les compromissions potentielles dans le cluster.
Exécution : exécution d'un outil de reconnaissance local LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Un outil de reconnaissance local qui n'est généralement pas associé au conteneur ni à l'environnement a été exécuté, ce qui suggère une tentative de collecte d'informations sur le système interne.

Si un outil de reconnaissance est exécuté, cela suggère que l'attaquant tente peut-être de cartographier l'infrastructure, d'identifier les failles ou de collecter des données sur les configurations système pour planifier ses prochaines étapes.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur surveille l'exécution d'outils de reconnaissance connus dans l'environnement, identifiés grâce à la veille sur les menaces, ce qui pourrait indiquer une préparation à des activités plus malveillantes.
Exécution : code Python malveillant exécuté MALICIOUS_PYTHON_EXECUTED

Un modèle de machine learning a identifié le code Python spécifié comme malveillant. Les pirates informatiques peuvent utiliser Python pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Python exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les scripts Python connus et nouveaux.
Exécution : binaire malveillant modifié exécuté MODIFIED_MALICIOUS_BINARY_EXECUTED

Un binaire répondant aux conditions suivantes a été exécuté :

  • Identifié comme étant malveillant selon les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifié à partir de l'image de conteneur d'origine pendant l'exécution

Si un fichier binaire malveillant modifié est exécuté, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche un fichier binaire en cours d'exécution qui était initialement inclus dans l'image de conteneur, mais qui a été modifié lors de l'exécution et identifié comme malveillant selon les renseignements sur les menaces.
Exécution : bibliothèque malveillante modifiée chargée MODIFIED_MALICIOUS_LIBRARY_LOADED

Une bibliothèque répondant aux conditions suivantes a été chargée :

  • Identifié comme étant malveillant selon les renseignements sur les menaces
  • Inclus dans l'image de conteneur d'origine
  • Modifié à partir de l'image de conteneur d'origine pendant l'exécution

Si une bibliothèque malveillante modifiée est chargée, cela indique clairement qu'un pirate informatique a le contrôle de la charge de travail et qu'il exécute un logiciel malveillant.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche une bibliothèque en cours de chargement qui était initialement incluse dans l'image de conteneur, mais qui a été modifiée lors de l'exécution et identifiée comme malveillante en fonction des renseignements sur les menaces.
Exécution : exécution de code Netcat à distance dans un conteneur NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER

Netcat, un utilitaire réseau polyvalent, a été exécuté dans l'environnement de conteneur, ce qui indique potentiellement une tentative d'établir un accès à distance non autorisé ou d'exfiltrer des données.

L'utilisation de Netcat dans un environnement conteneurisé peut indiquer qu'un pirate informatique tente de créer un shell inversé, de permettre un déplacement latéral ou d'exécuter des commandes arbitraires, ce qui pourrait compromettre l'intégrité du système.

Les résultats sont classés dans le niveau de gravité faible.

 Le détecteur surveille l'exécution de Netcat dans le conteneur, car son utilisation dans les environnements de production est rare et peut signaler une tentative de contournement des contrôles de sécurité ou d'exécution de commandes à distance.
Exécution possible de commandes arbitraires via CUPS (CVE-2024-47177) POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS

Cette règle détecte le processus footmatic-rip exécutant des programmes shell courants, ce qui peut indiquer qu'un pirate informatique a exploité la faille CVE-2024-47177. foomatic-rip fait partie d'OpenPrinting CUPS, un service d'impression Open Source qui fait partie de nombreuses distributions Linux. La plupart des images de conteneur ont ce service d'impression désactivé ou supprimé. Si cette détection existe, veuillez vérifier qu'il s'agit d'un comportement prévu ou désactiver immédiatement le service.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche tout processus shell qui est un processus enfant du processus foomatic-rip.
Exécution : exécution possible de commandes à distance détectée POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED

Un processus a été détecté, qui génère des commandes UNIX courantes via une connexion de socket réseau, ce qui indique une tentative potentielle d'établir des capacités d'exécution de commandes à distance non autorisées.

Les pirates informatiques utilisent fréquemment des techniques qui imitent les shells inversés pour obtenir un contrôle interactif sur un système piraté, ce qui leur permet d'exécuter des commandes arbitraires à distance et de contourner les mesures de sécurité réseau standards telles que les restrictions de pare-feu. La détection de l'exécution de commandes sur un socket est un indicateur fort d'accès à distance malveillant.

Les résultats sont classés dans le niveau de gravité moyen.

 Ce détecteur surveille la création de sockets réseau suivie de l'exécution de commandes shell UNIX standards. Ce modèle suggère une tentative de création d'un canal secret pour l'exécution de commandes à distance, ce qui pourrait permettre d'autres activités malveillantes sur l'hôte compromis.
Exécution : exécution d'un programme avec un environnement de proxy HTTP non autorisé PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV

Un programme a été exécuté avec une variable d'environnement de proxy HTTP non autorisée. Cela peut indiquer une tentative de contournement des contrôles de sécurité, de redirection du trafic à des fins malveillantes ou d'exfiltration de données par des canaux non autorisés.

Les pirates informatiques peuvent configurer des proxys HTTP non autorisés pour intercepter des informations sensibles, acheminer le trafic via des serveurs malveillants ou établir des canaux de communication secrets. Il est essentiel de détecter l'exécution de programmes avec ces variables d'environnement pour maintenir la sécurité du réseau et éviter les fuites de données.

Les résultats sont classés dans le niveau de gravité faible.

 Ce détecteur surveille l'exécution de programmes avec des variables d'environnement de proxy HTTP spécifiquement interdites. L'utilisation de ces proxys, en particulier lorsqu'elle est inattendue, peut indiquer une activité malveillante et nécessite une enquête immédiate.
Exécution : shell inversé de Socat détecté SOCAT_REVERSE_SHELL_DETECTED

La commande socat a été utilisée pour créer un shell inversé.

Cette règle détecte l'exécution de socat pour créer un shell inversé en redirigeant les descripteurs de fichier stdin, stdout et stderr. Il s'agit d'une technique courante utilisée par les pirates informatiques pour accéder à distance à un système piraté.

Les résultats sont classés dans le niveau de gravité moyen.

 Le détecteur recherche tout processus shell qui est le processus enfant d'un processus socat.
Exécution : modification Cron suspecte (aperçu) SUSPICIOUS_CRON_MODIFICATION

Un fichier de configuration cron a été modifié.

Les modifications apportées aux tâches cron sont une tactique courante utilisée par les pirates informatiques pour établir un accès persistant aux systèmes. Les pirates informatiques pourraient exploiter les modifications non autorisées apportées aux jobs cron pour exécuter des commandes malveillantes à des intervalles spécifiques, ce qui leur permettrait de conserver l'accès au système et de le contrôler. Ces modifications peuvent passer inaperçues et permettre aux pirates informatiques de mener des activités furtives pendant une longue période.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Ce détecteur surveille les fichiers de configuration cron pour détecter les modifications.
Exécution : objet partagé OpenSSL suspect chargé SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED

OpenSSL a été exécuté pour charger un objet partagé personnalisé.

Les pirates informatiques peuvent charger des bibliothèques personnalisées et remplacer les bibliothèques existantes utilisées par OpenSSL afin d'exécuter du code malveillant. Son utilisation en production est rare et doit faire l'objet d'une enquête immédiate.

Les résultats sont classés dans le niveau de gravité critique.

 Ce détecteur surveille l'exécution de la commande openssl engine afin de charger des fichiers .so personnalisés.
Exfiltration : lancer des outils de copie de fichiers à distance dans un conteneur LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER

L'exécution d'un outil de copie de fichiers à distance a été détectée dans le conteneur, ce qui indique une exfiltration de données, un déplacement latéral ou le déploiement de charges utiles malveillantes potentiels.

Les pirates informatiques utilisent souvent ces outils pour transférer des données sensibles en dehors du conteneur, se déplacer latéralement sur le réseau afin de compromettre d'autres systèmes ou introduire des logiciels malveillants pour d'autres activités malveillantes. La détection de l'utilisation d'outils de copie de fichiers à distance est essentielle pour éviter les fuites de données, les accès non autorisés et la compromission du conteneur et potentiellement du système hôte.

Les résultats sont classés dans le niveau de gravité faible.

 Ce détecteur surveille l'exécution d'outils de copie de fichiers à distance connus dans l'environnement de conteneur. Leur présence, surtout lorsqu'elle est inattendue, peut indiquer une activité malveillante.
Impact : Détecter les lignes de commande malveillantes DETECT_MALICIOUS_CMDLINES

Une commande a été exécutée avec des arguments connus pour être potentiellement destructeurs, comme des tentatives de suppression de fichiers système critiques ou de modification de configurations liées aux mots de passe.

Les pirates informatiques peuvent émettre des lignes de commande malveillantes pour provoquer l'instabilité du système, empêcher la récupération en supprimant des fichiers essentiels ou obtenir un accès non autorisé en manipulant les identifiants utilisateur. La détection de ces modèles de commandes spécifiques est essentielle pour éviter un impact important sur le système.

Les résultats sont classés dans le niveau de gravité critique.

 Ce détecteur surveille l'exécution d'arguments de ligne de commande qui correspondent à des schémas associés à des dommages au système ou à une élévation des privilèges. La présence de telles commandes indique une tentative active potentielle d'affecter négativement la disponibilité ou la sécurité du système.
Impact : supprimer des données du disque de manière groupée REMOVE_BULK_DATA_FROM_DISK

Un processus a été détecté en train d'effectuer des opérations de suppression de données en masse, ce qui peut indiquer une tentative d'effacer des preuves, de perturber des services ou d'exécuter une attaque d'effacement de données dans l'environnement du conteneur.

Les pirates informatiques peuvent supprimer de grands volumes de données pour effacer leurs traces, saboter des opérations ou préparer le déploiement d'un ransomware. La détection de ce type d'activité permet d'identifier les menaces potentielles avant qu'une perte de données critiques ne se produise.

Les résultats sont classés dans le niveau de gravité faible.

 Le détecteur surveille les commandes et les processus associés à la suppression groupée de données ou à d'autres outils d'effacement de données, afin d'identifier les activités suspectes qui pourraient compromettre l'intégrité du système.
Impact : activité de minage de cryptomonnaie suspecte utilisant le protocole Stratum SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL

Un processus de communication via le protocole Stratum, couramment utilisé par les logiciels de minage de cryptomonnaie, a été détecté. Cette activité suggère des opérations de minage non autorisées potentielles dans l'environnement de conteneur.

Les pirates informatiques déploient souvent des mineurs de cryptomonnaie pour exploiter les ressources système à des fins financières, ce qui entraîne une dégradation des performances, une augmentation des coûts opérationnels et des risques de sécurité potentiels. La détection de ce type d'activité permet d'atténuer l'utilisation abusive des ressources et les accès non autorisés.

Les résultats sont classés dans le niveau de gravité élevé.

 Ce détecteur surveille l'utilisation connue du protocole Stratum dans l'environnement. Étant donné que les charges de travail de conteneurs légitimes n'utilisent généralement pas Stratum, sa présence peut indiquer des opérations de minage non autorisées ou un conteneur compromis.
Script malveillant exécuté MALICIOUS_SCRIPT_EXECUTED

Un modèle de machine learning a identifié le code Bash spécifié comme malveillant. Les pirates informatiques peuvent utiliser Bash pour transférer des outils ou d'autres fichiers d'un système externe vers un environnement compromis afin d'exécuter des commandes sans binaires.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur utilise des techniques de TLN pour évaluer le contenu du code Bash exécuté. Étant donné que cette approche n'est pas basée sur les signatures, les détecteurs peuvent identifier les scripts Bash malveillants connus et nouveaux.
URL malveillante observée MALICIOUS_URL_OBSERVED

Container Threat Detection a détecté une URL malveillante dans la liste des arguments d'un processus en cours d'exécution.

Les résultats sont classés dans le niveau de gravité moyen.

 Le détecteur compare les URL observées dans la liste des arguments des processus en cours d'exécution aux listes de ressources Web non sécurisées gérées par le service Google Navigation sécurisée. Si une URL est classée à tort comme hameçonnage ou logiciel malveillant, signalez-le sur la page Signaler des données incorrectes.
Persistance : modifier ld.so.preload (version bêta) MODIFY_LD_SO_PRELOAD

Une tentative de modification du fichier ld.so.preload a été détectée.

Les modifications apportées à ld.so.preload peuvent être utilisées par des pirates informatiques pour précharger des bibliothèques partagées malveillantes dans le jeu de bibliothèques d'un système. Un pirate informatique peut s'en servir pour détourner le flux d'exécution en chargeant ses propres bibliothèques lors de l'exécution du programme, ce qui peut entraîner une élévation de ses privilèges ou une évasion des mécanismes de défense.

Il s'agit d'un détecteur de surveillance des fichiers qui nécessite une version spécifique de GKE.

Ce détecteur surveille les tentatives de modification du fichier ld.so.preload.
Élévation des privilèges : utilisation abusive de Sudo pour l'élévation des privilèges (CVE-2019-14287) ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION

sudo a été exécuté avec des arguments qui tentent d'élever les privilèges.

Cette détection signale une tentative d'exploitation de la faille CVE-2019-14287, qui permet l'élévation des privilèges en abusant de la commande sudo. Les versions de sudo antérieures à la version 1.8.28 comportaient un exploit qui pouvait élever les privilèges d'un utilisateur non racine à ceux d'un utilisateur racine.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche toute exécution sudo comportant des arguments -u#-1 ou -u#4294967295.
Élévation des privilèges : exécution sans fichier dans /dev/shm FILELESS_EXECUTION_DETECTION_SHM

Un processus a été exécuté à partir d'un chemin d'accès dans /dev/shm.

En exécutant un fichier à partir de /dev/shm, un pirate informatique peut exécuter du code malveillant à partir de ce répertoire pour échapper à la détection par les outils de sécurité, ce qui lui permet de mener des attaques par élévation de privilèges ou par injection de processus.

Les résultats sont classés dans le niveau de gravité élevé.

 Le détecteur recherche tout processus exécuté à partir de /dev/shm.
Élévation des privilèges : faille liée à l'élévation des privilèges locaux de Polkit (CVE-2021-4034) POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY

Un utilisateur non racine a exécuté pkexec avec des variables d'environnement qui tentent d'élever les privilèges.

Cette règle détecte une tentative d'exploitation d'une faille d'élévation des privilèges (CVE-2021-4034) dans pkexec de Polkit. En exécutant du code spécialement conçu, un utilisateur non racine peut utiliser cette faille pour obtenir des droits racine sur un système piraté.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche toute exécution pkexec pour laquelle la variable d'environnement GCONV_PATH est définie.
Élévation des privilèges : élévation potentielle des privilèges de Sudo (CVE-2021-3156) SUDO_POTENTIAL_PRIVILEGE_ESCALATION

Un utilisateur non racine a exécuté sudo ou sudoedit avec un modèle d'arguments qui tente d'élever les privilèges.

Détecte une tentative d'exploitation d'une faille affectant la version sudo <= 1.9.5p2. L'exécution de sudo ou sudoedit avec certains arguments, y compris un argument se terminant par une seule barre oblique inverse, en tant qu'utilisateur non privilégié peut élever les privilèges de l'utilisateur à ceux d'un utilisateur racine.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche toute exécution sudo ou sudoedit tentant d'utiliser des arguments identifiés comme faisant partie de l'exploit CVE-2021-4034.
Interface système inversée REVERSE_SHELL

Un processus a commencé par une redirection de flux vers un socket connecté distant.

Grâce à l'interface système inversée, un pirate informatique peut communiquer à partir d'une charge de travail compromise vers une machine contrôlée par un pirate informatique. Le pirate informatique peut ensuite commander et contrôler la charge de travail, par exemple dans le cadre d'un botnet.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur recherche stdin lié à un socket distant.
Shell enfant inattendu UNEXPECTED_CHILD_SHELL

Un processus qui n'invoque normalement pas de shells a généré un processus de shell.

Les résultats sont classés dans le niveau de gravité critique.

 Le détecteur surveille toutes les exécutions de processus. Lorsqu'un shell est appelé, le détecteur génère un résultat si le processus parent n'est pas connu pour appeler généralement des shells.

Modules permettant de signaler les variables d'environnement et les arguments de CLI dans les résultats

Les modules suivants vous permettent d'inclure ou d'exclure des variables d'environnement et des arguments CLI dans les résultats de Container Threat Detection.

  • Variables d'environnement dans le rapport (REPORT_ENVIRONMENT_VARIABLES)
  • Arguments de CLI dans le rapport (REPORT_CLI_ARGUMENTS)

Pour obtenir des instructions, consultez les sections suivantes :

Étapes suivantes