במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.
סקירה כללית
בוצע קובץ בינארי שלא היה חלק מקובץ אימג' של קונטיינר המקורי.
בדרך כלל, התוקפים מתקינים כלי ניצול ותוכנות זדוניות אחרי הפריצה הראשונית. חשוב מאוד לוודא שהמאגרי התגים שלכם הם בלתי ניתנים לשינוי. זוהה בעיה ברמת חומרה נמוכה, כי יכול להיות שהארגון שלכם לא פועל לפי השיטה המומלצת הזו. יש ממצאים תואמים Execution: Added
Malicious Binary Executed כשערך הגיבוב של הקובץ הבינארי הוא אינדיקטור ידוע לפריצה (IoC).
זיהוי איומים בקונטיינר הוא המקור של הממצא הזה.
איך מגיבים
כדי להגיב לממצא הזה:
שלב 1: בדיקת פרטי הממצא
פותחים ממצא
Added Binary Executedכמו שמתואר במאמר בדיקת ממצאים. חלונית הפרטים של הממצא תיפתח בכרטיסייה סיכום.בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:
- מה זוהה, במיוחד השדות הבאים:
- קובץ בינארי של התוכנית: הנתיב המוחלט של הקובץ הבינארי שנוסף.
- ארגומנטים: הארגומנטים שסופקו כשמפעילים את הקובץ הבינארי שנוסף.
- מקור המידע שהושפע, במיוחד השדות הבאים:
- שם המשאב המלא: שם המשאב המלא של האשכול, כולל מספר הפרויקט, המיקום ושם האשכול.
- קישורים רלוונטיים, במיוחד השדות הבאים:
- אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal.
- מה זוהה, במיוחד השדות הבאים:
לוחצים על JSON ורושמים את השדות הבאים:
resource:-
project_display_name: השם של הפרויקט שמכיל את האשכול.
-
sourceProperties:-
Pod_Namespace: השם של מרחב השמות של ה-Pod ב-Kubernetes. -
Pod_Name: השם של ה-Pod ב-GKE. -
Container_Name: השם של הקונטיינר המושפע. -
Container_Image_Uri: השם של קובץ האימג' בקונטיינר שפורס. -
VM_Instance_Name: השם של צומת GKE שבו ה-Pod הופעל.
-
זיהוי ממצאים אחרים שהתרחשו בזמן דומה במאגר הזה. ממצאים קשורים עשויים להצביע על כך שהפעילות הזו הייתה זדונית, ולא על כך שלא פעלתם לפי השיטות המומלצות.
שלב 2: בדיקת האשכול והצומת
נכנסים לדף Kubernetes clusters במסוף Google Cloud .
בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-
resource.project_display_name, אם צריך.בוחרים את האשכול שמופיע בשורה Resource full name (השם המלא של המשאב) בכרטיסייה Summary (סיכום) של פרטי הממצא. חשוב לרשום את המטא-נתונים לגבי האשכול והבעלים שלו.
לוחצים על הכרטיסייה Nodes. בוחרים את הצומת שמופיע ב-
VM_Instance_Name.לוחצים על הכרטיסייה פרטים ורושמים את ההערה
container.googleapis.com/instance_id.
שלב 3: בדיקת הפודקאסט
נכנסים לדף Kubernetes Workloads במסוף Google Cloud .
בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-
resource.project_display_name, אם צריך.במידת הצורך, מסננים לפי האשכול שמופיע בשורה Resource full name בכרטיסייה Summary בפרטי הממצא, ולפי מרחב השמות של ה-Pod שמופיע ב-
Pod_Namespace.בוחרים את ה-Pod שמופיע ב-
Pod_Name. שימו לב לכל מטא-נתונים לגבי הפוד והבעלים שלו.
שלב 4: בדיקת היומנים
במסוף Google Cloud , עוברים אל Logs Explorer.
בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-
resource.project_display_name, אם צריך.מגדירים את בחירת טווח זמן לתקופה הרצויה.
בדף שנטען, מבצעים את הפעולות הבאות:
- כדי למצוא את היומנים של Pod
Pod_Name, משתמשים במסנן הבא:resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- כדי למצוא יומני ביקורת של אשכול, משתמשים במסנן הבא:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- כדי למצוא יומני מסוף של צומתי GKE, משתמשים במסנן הבא:
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- כדי למצוא את היומנים של Pod
שלב 5: בדיקת קונטיינר שפועל
אם הקונטיינר עדיין פועל, יכול להיות שאפשר לבדוק את סביבת הקונטיינר ישירות.
נכנסים למסוף Google Cloud .
בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-
resource.project_display_name, אם צריך.לוחצים על הפעלת Cloud Shell.
מריצים את הפקודות הבאות כדי לקבל את פרטי הכניסה של GKE לאשכול.
באשכולות אזוריים:
gcloud container clusters get-credentials cluster_name --zone location --project project_nameבאשכולות אזוריים:
gcloud container clusters get-credentials cluster_name --region location --project project_nameמחליפים את מה שכתוב בשדות הבאים:
-
cluster_name: האשכול שמופיע ב-resource.labels.cluster_name -
location: המיקום שמופיע ב-resource.labels.location -
project_name: שם הפרויקט שמופיע ב-resource.project_display_name
-
מאחזרים את הקובץ הבינארי שנוסף באמצעות הפקודה:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_fileמחליפים את
local_fileבנתיב לקובץ מקומי שבו רוצים לאחסן את הקובץ הבינארי שנוסף.כדי להתחבר לסביבת הקונטיינר, מריצים את הפקודה:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/shכדי להשתמש בפקודה הזו, צריך להתקין מעטפת במיקום
/bin/shבמאגר.
שלב 6: מחקר של שיטות התקפה ותגובה
- כדאי לעיין ברשומות של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Ingress Tool Transfer (העברת כלי כניסה), Native API (API מקורי).
- כדי לבדוק את ערך הגיבוב (hash) SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
- כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.
שלב 7: מיישמים את התגובה
תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.
- אם הקובץ הבינארי נועד להיכלל בקונטיינר, צריך לבנות מחדש את קובץ אימג' של קונטיינר עם הקובץ הבינארי. כך הקונטיינר יכול להיות בלתי ניתן לשינוי.
- אחרת, צריך לפנות לבעלים של הפרויקט עם מאגר התגים שנפרץ.
- מפסיקים את השימוש במאגר התגים שנפרץ או מוחקים אותו ומחליפים אותו במאגר תגים חדש.
המאמרים הבאים
- איך עובדים עם ממצאי איומים ב-Security Command Center
- אפשר לעיין באינדקס של ממצאי איומים.
- איך בודקים ממצא דרך מסוף Google Cloud .
- מידע על השירותים שמפיקים ממצאים לגבי איומים