Execução: execução remota de código do Netcat em contêiner

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

Um utilitário de rede conhecido, o Netcat, foi executado de maneira consistente com tentativas de execução remota de código. Isso pode indicar que um invasor está usando o Netcat para estabelecer um shell reverso, transferir arquivos ou criar túneis de rede não autorizados no agente de IA. Essa atividade é uma preocupação de segurança grave, porque sugere uma tentativa de obter controle remoto sobre o agente de IA, burlar controles de segurança ou migrar para outros sistemas na rede. A execução de código remoto não autorizada pode levar a escalonamento de privilégios, exfiltração de dados ou exploração adicional do ambiente.

A Detecção de ameaças da plataforma do agente é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

1. Abra a descoberta Execution: Netcat Remote Code Execution in Container, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seções abaixo.

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: o caminho absoluto do binário executado
     • Argumentos: os argumentos transmitidos durante a execução do binário.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso afetado do Agent Runtime.

3. Na guia JSON, observe os campos a seguir.

   • resource:
     • project_display_name: o nome do projeto que contém o recurso afetado do Agent Runtime.
   • finding:
     • processes:
       • binary:
       • path: o caminho completo do binário executado.
     • args: os argumentos fornecidos quando o binário foi executado.

4. Identifique outras descobertas que ocorreram em um momento semelhante para o agente de IA afetado. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

5. Revise as configurações do agente de IA afetado.

6. Verifique os registros do agente de IA afetado.

Pesquisar métodos de ataque e resposta

1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Command and Scripting Interpreter: Unix Shell.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Agent Runtime.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.