Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.
Vista geral
Foi detetado um processo que executa argumentos de linha de comandos indicativos de atividade potencialmente maliciosa, como tentativas de eliminar ficheiros críticos do sistema ou modificar ficheiros relacionados com palavras-passe. Este comportamento sugere um esforço para prejudicar a funcionalidade do sistema ou comprometer os mecanismos de autenticação do utilizador. Os adversários podem tentar remover ficheiros essenciais do sistema operativo para causar instabilidade no sistema ou manipular ficheiros de palavras-passe para obter acesso não autorizado a contas. A execução desses comandos é um forte indicador de intenção maliciosa, o que pode levar à perda de dados, à inoperacionalidade do sistema ou à escalada de privilégios não autorizada. Isto torna-se numa deteção de alta prioridade que requer uma análise imediata para determinar os objetivos do atacante e a extensão dos potenciais danos.
O Cloud Run Threat Detection é a origem desta descoberta.
Como responder
Para responder a esta descoberta, faça o seguinte:
Reveja os detalhes da descoberta
Abra a descoberta
Impact: Detect Malicious Cmdlinesconforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.No separador Resumo, reveja as informações nas seguintes secções.
- O que foi detetado, especialmente os seguintes campos:
- Binário do programa: o caminho absoluto do binário executado
- Argumentos: os argumentos transmitidos durante a execução binária
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso do recurso do Cloud Run afetado
- O que foi detetado, especialmente os seguintes campos:
No separador JSON, tenha em atenção os seguintes campos.
resource:project_display_name: o nome do projeto que contém o recurso do Cloud Run afetado
finding:processes:binary:path: o caminho completo do ficheiro binário executado
args: os argumentos que foram fornecidos quando o ficheiro binário foi executado
Identifique outras descobertas que ocorreram numa altura semelhante para o contentor afetado. As conclusões relacionadas podem indicar que esta atividade foi maliciosa, em vez de uma falha no seguimento das práticas recomendadas.
Reveja as definições do contentor afetado.
Verifique os registos do contentor afetado.
Investigue métodos de ataque e resposta
- Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Destruição de dados.
- Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.
Implemente a sua resposta
Para ver recomendações de respostas, consulte o artigo Responda a resultados de ameaças do Cloud Run.
O que se segue?
- Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
- Consulte o índice de resultados de ameaças.
- Saiba como rever uma descoberta através da Google Cloud consola.
- Saiba mais sobre os serviços que geram resultados de ameaças.