Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ביצוע: קוד Python זדוני בוצע

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה במאמר אינדקס ממצאי האיומים.

סקירה כללית

מודל של למידת מכונה זיהה קוד Python שהופעל כקוד זדוני. תוקפים יכולים להשתמש ב-Python כדי להעביר כלים ולהריץ פקודות בלי קבצים בינאריים.

זיהוי איומים ב-Agent Platform הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

פותחים את הממצא Execution: Malicious Python executed לפי ההוראות במאמר בדיקת ממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.
בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:
- מה זוהה, במיוחד השדות הבאים:
  - Program binary: פרטים על המפרש שהפעיל את הסקריפט
  - ‫Script: נתיב מוחלט של שם הסקריפט בדיסק. המאפיין הזה מופיע רק בסקריפטים שנכתבו בדיסק, ולא בהרצה של סקריפט מילולי. לדוגמה: python3 -c
  - ארגומנטים: הארגומנטים שסופקו כשמפעילים את הסקריפט
- מקור המידע שהושפע, במיוחד השדות הבאים:
  - ‫Resource full name: שם המשאב המלא של סוכן ה-AI המושפע (משאב ReasoningEngine)
- קישורים רלוונטיים, במיוחד השדות הבאים:
  - אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal
בכרטיסייה JSON, שימו לב לשדות הבאים:
- finding:
  - processes:
  - script:
    - ‫contents: תוכן הסקריפט שהופעל, שעשוי להיות קטום מסיבות שקשורות לביצועים. יכול לעזור לכם בחקירה.
    - ‫sha256: גיבוב (hash) מסוג SHA-256 של script.contents
- resource:
  - ‫project_display_name: שם הפרויקט שמכיל את הנכס.
מחפשים ממצאים קשורים שהתרחשו בזמן דומה עבור סוכן ה-AI שהושפע. לדוגמה, אם הסקריפט משחרר קובץ בינארי, צריך לבדוק אם יש ממצאים שקשורים לקובץ הבינארי. ממצאים כאלה עשויים להצביע על כך שהפעילות הייתה זדונית, ולא על כך שלא פעלתם לפי השיטות המומלצות.
בודקים את ההגדרות של סוכן ה-AI המושפע.
בודקים את היומנים של סוכן ה-AI המושפע.

מחקר של שיטות התקפה ותגובה

מעיינים ברשומות של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Command and Scripting Interpreter (מפרש פקודות וסקריפטים) ו-Ingress Tool Transfer (העברת כלי כניסה).
כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים של AI.

המאמרים הבאים

איך עובדים עם ממצאי איומים ב-Security Command Center
אפשר לעיין באינדקס של ממצאי איומים.
איך בודקים ממצא דרך מסוף Google Cloud .
מידע על השירותים שמפיקים ממצאים לגבי איומים