Evasione della difesa: script Python con codifica Base64 eseguito

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.

Panoramica

È stato eseguito un processo che contiene un argomento che è uno script Python con codifica base64. Se viene rilevata l'esecuzione di uno script Python codificato, è un segnale che un utente malintenzionato sta tentando di codificare i dati binari per il trasferimento alle righe di comando solo ASCII. Gli utenti malintenzionati possono utilizzare questa tecnica per eludere il rilevamento ed eseguire codice dannoso incorporato in uno script Python.

Agent Platform Threat Detection è l' origine di questo risultato.

Come rispondere

Per rispondere a questo risultato:

Esamina i dettagli del risultato

1. Apri il risultato Defense Evasion: Base64 Encoded Python Script Executed come indicato in Esaminare i risultati. Esamina i dettagli nelle schede Riepilogo e JSON.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni.

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Programma binario: il percorso assoluto del file binario eseguito
     • Argomenti: gli argomenti passati durante l'esecuzione del file binario
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo risorsa: il nome completo della risorsa Vertex AI Agent Engine interessata

3. Nella scheda JSON, prendi nota dei seguenti campi.

   • resource:
     • project_display_name: il nome del progetto che contiene la risorsa Vertex AI Agent Engine interessata
   • finding:
     • processes:
       • binary:
       • path: il percorso completo del file binario eseguito
     • args: gli argomenti forniti durante l'esecuzione del file binario

4. Identifica altri risultati che si sono verificati in un momento simile per l'agente AI interessato. I risultati correlati potrebbero indicare che questa attività era dannosa, anziché un mancato rispetto delle best practice.

5. Esamina le impostazioni dell'agente AI interessato.

6. Controlla i log dell'agente AI interessato.

Ricerca metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Codifica dati: codifica standard.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Implementa la risposta

Per i suggerimenti di risposta, consulta Rispondere ai risultati di minaccia di Vertex AI Agent Engine findings.

Passaggi successivi

• Scopri come utilizzare i risultati di minaccia in Security Command Center.
• Consulta l'indice dei risultati di minaccia.
• Scopri come esaminare un risultato tramite la Google Cloud console.
• Scopri i servizi che generano risultati di minaccia.