En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.
Información general
Se ha detectado un proceso que inicia una herramienta de compilación de código en un contenedor. environment. Este comportamiento sugiere un posible intento de desarrollar o compilar software malicioso en el contenedor aislado, posiblemente para ofuscar actividades maliciosas y eludir los controles de seguridad tradicionales basados en el host. Los adversarios pueden utilizar esta técnica para crear herramientas personalizadas o modificar archivos binarios en un entorno menos vigilado antes de implementarlos en el sistema subyacente u otros objetivos. La presencia de un compilador de código en un contenedor, sobre todo si es inesperada, requiere una investigación, ya que podría indicar que un atacante se está preparando para introducir puertas traseras persistentes o para poner en peligro el software del cliente mediante archivos binarios manipulados.
Cloud Run Threat Detection es la fuente de esta detección.
Cómo responder
Para responder a esta observación, sigue estos pasos:
Consultar los detalles de los resultados
Abre el resultado
Defense Evasion: Launch Code Compiler Tool In Containercomo se indica en Revisar los resultados. Consulta los detalles en las pestañas Resumen y JSON.En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
- Binario de programa: la ruta absoluta del binario ejecutado.
- Argumentos: los argumentos transferidos durante la ejecución binaria.
- Recurso afectado, especialmente los siguientes campos:
- Nombre completo del recurso: el nombre completo del recurso de Cloud Run afectado
- Qué se detectó, especialmente los siguientes campos:
En la pestaña JSON, anota los siguientes campos.
resource:project_display_name: el nombre del proyecto que contiene el clúster.
finding:processes:binary:path: la ruta completa del archivo binario ejecutado.
args: los argumentos que se han proporcionado al ejecutar el archivo binario.
Identifica otros hallazgos que se hayan producido en un momento similar para este contenedor. Los resultados relacionados pueden indicar que esta actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.
Revisa la configuración del contenedor afectado.
Consulta los registros del contenedor afectado.
Investigar métodos de ataque y respuesta
- Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Archivos o información ofuscados: compilar después de la entrega.
- Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.
Implementar tu respuesta
Para obtener recomendaciones sobre cómo responder, consulta Responder a las detecciones de amenazas de Cloud Run.
Siguientes pasos
- Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
- Consulta el índice de hallazgos de amenazas.
- Consulta cómo revisar un resultado a través de la consola de Google Cloud .
- Consulta información sobre los servicios que generan detecciones de amenazas.