Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk mengetahui daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Proses yang berisi argumen yang merupakan skrip shell berenkode base64 telah dieksekusi. Jika eksekusi skrip shell berenkode terdeteksi, hal ini merupakan sinyal bahwa penyerang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip shell.
Deteksi Ancaman Cloud Run adalah sumber temuan ini.
Cara merespons
Untuk merespons temuan ini, lakukan hal berikut:
Meninjau detail temuan
Buka temuan
Defense Evasion: Base64 Encoded Shell Script Executedseperti yang diarahkan dalam Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.Di tab Ringkasan, tinjau informasi di bagian berikut.
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang dieksekusi
- Argumen: argumen yang diteruskan selama eksekusi biner
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource Cloud Run yang terpengaruh resource
- Yang terdeteksi, terutama kolom berikut:
Di tab JSON, perhatikan kolom berikut.
resource:project_display_name: nama project yang berisi resource Cloud Run yang terpengaruh
finding:processes:binary:path: jalur lengkap biner yang dieksekusi
args: argumen yang diberikan saat biner dieksekusi
Identifikasi temuan lain yang terjadi pada waktu yang sama untuk penampung yang terpengaruh. Temuan terkait mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Tinjau setelan penampung yang terpengaruh.
Periksa log untuk penampung yang terpengaruh.
Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Defense Evasion: Obfuscated Files or Information.
- Untuk mengembangkan rencana respons, gabungkan hasil investigasi Anda dengan penelitian MITRE.
Menerapkan respons Anda
Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run findings.
Langkah berikutnya
- Pelajari cara menggunakan temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui Google Cloud konsol.
- Pelajari tentang layanan yang menghasilkan temuan ancaman.