Eksekusi: Eksekusi Biner Berbahaya yang Ditambahkan

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Biner berbahaya yang bukan bagian dari image kontainer asli telah dieksekusi. Penyerang biasanya menginstal alat eksploitasi dan malware setelah penyusupan awal.

Cloud Run Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Meninjau detail temuan

  1. Buka temuan Execution: Added Malicious Binary Executed seperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.

  2. Di tab Ringkasan, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Biner program: jalur absolut biner yang ditambahkan
      • Argumen: argumen yang diberikan saat memanggil program biner yang ditambahkan
      • Containers: nama container yang terpengaruh
      • URI Container: nama image container yang di-deploy
    • Resource yang terpengaruh, terutama kolom berikut:
    • Link terkait, terutama kolom berikut:
      • Indikator VirusTotal: link ke halaman analisis VirusTotal
  3. Identifikasi temuan lain yang terjadi pada waktu yang serupa untuk penampung yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan karena kegagalan mengikuti praktik terbaik.

  4. Tinjau setelan penampung yang terpengaruh.

  5. Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
  2. Periksa nilai hash SHA-256 untuk program biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  3. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan analisis VirusTotal dan riset MITRE.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run.

Langkah berikutnya