Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Evasão de defesa: iniciar a ferramenta de compilador de código no contêiner

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um processo foi detectado ao iniciar uma ferramenta de compilador de código em um ambiente de agente de IA. Esse comportamento sugere uma possível tentativa de desenvolver ou compilar software malicioso no agente de IA isolado, possivelmente para ofuscar atividades maliciosas e evitar controles de segurança tradicionais baseados em host. Os invasores podem usar essa técnica para criar ferramentas personalizadas ou modificar binários atuais em um ambiente menos analisado antes de implantá-los no sistema subjacente ou em outros destinos. A presença de um compilador de código em um agente de IA, especialmente se for inesperada, exige investigação, já que pode indicar que um invasor está se preparando para introduzir backdoors persistentes ou comprometer o software do cliente por meio de binários adulterados.

A Detecção de Ameaças da Plataforma do Agente é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

Abra a descoberta Defense Evasion: Launch Code Compiler Tool In Container, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.
Na guia Resumo, confira as informações nas seções abaixo.
- O que foi detectado, especialmente os seguintes campos:
  - Binário do programa: o caminho absoluto do binário executado
  - Argumentos: os argumentos transmitidos durante a execução do binário.
- Recurso afetado, especialmente os seguintes campos:
  - Nome completo do recurso: o nome completo do recurso afetado do ambiente de execução do agente
Na guia JSON, observe os campos a seguir.
- resource:
  - project_display_name: o nome do projeto que contém o cluster.
- finding:
  - processes:
  - binary:
    - path: o caminho completo do binário executado.
  - args: os argumentos fornecidos ao executar o binário.
Identifique outras descobertas que ocorreram em um momento semelhante para esse agente de IA. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.
Revise as configurações do agente de IA afetado.
Verifique os registros do agente de IA afetado.

Pesquisar métodos de ataque e resposta

Revise a entrada do framework do MITRE ATT&CK para esse tipo de descoberta: Arquivos ou informações ofuscados: compilar após a entrega.
Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do ambiente de execução do agente.

A seguir

Saiba como usar descobertas de ameaças no Security Command Center.
Consulte Índice de descobertas de ameaças.
Aprenda a analisar uma descoberta no console do Google Cloud .
Saiba mais sobre os serviços que geram descobertas de ameaças.