הפעלה: נוסף קובץ בינארי זדוני שהופעל

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

בוצע בינארי זדוני שלא היה חלק מקובץ אימג' של הקונטיינר המקורי. בדרך כלל, התוקפים מתקינים כלי ניצול ותוכנות זדוניות אחרי הפריצה הראשונית.

Cloud Run Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

  1. פותחים את הממצא Execution: Added Malicious Binary Executed לפי ההוראות במאמר בדיקת הממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.

  2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

    • מה זוהה, במיוחד השדות הבאים:
      • קובץ בינארי של התוכנית: הנתיב המוחלט של הקובץ הבינארי שנוסף
      • ארגומנטים: הארגומנטים שסופקו כשמפעילים את הקובץ הבינארי שנוסף
      • קונטיינרים: השם של הקונטיינר שהושפע
      • ה-URI של הקונטיינרים: השם של קובץ האימג' של הקונטיינר שנפרס
    • מקור המידע שהושפע, במיוחד השדות הבאים:
    • קישורים רלוונטיים, במיוחד השדות הבאים:
      • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal

  3. לזהות ממצאים אחרים שהתרחשו בזמן דומה עבור המאגר המושפע. ממצאים קשורים עשויים להצביע על כך שהפעילות הזו הייתה זדונית, ולא על כך שלא פעלת לפי השיטות המומלצות.

  4. בודקים את ההגדרות של מאגר התגים שהושפע.

  5. בודקים את היומנים של מאגר התגים המושפע.

מחקר של שיטות התקפה ותגובה

  1. כדאי לעיין ברשומות של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Ingress Tool Transfer (העברת כלי כניסה), Native API (API מקורי).
  2. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
  3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים ב-Cloud Run.

המאמרים הבאים