Defense Evasion: Launch Code Compiler Tool In Container

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das deteções de ameaças disponíveis, consulte o Índice de deteções de ameaças.

Vista geral

Foi detetado um processo que inicia uma ferramenta de compilação de código num ambiente de contentor. Este comportamento sugere uma potencial tentativa de desenvolver ou compilar software malicioso no contentor isolado, possivelmente para ocultar atividades maliciosas e evitar os controlos de segurança tradicionais baseados no anfitrião. Os adversários podem usar esta técnica para criar ferramentas personalizadas ou modificar binários existentes num ambiente menos escrutinado antes de os implementar no sistema subjacente ou noutros alvos. A presença de um compilador de código num contentor, especialmente se for inesperada, justifica uma investigação, uma vez que pode indicar que um atacante se está a preparar para introduzir portas traseiras persistentes ou comprometer o software cliente através de ficheiros binários adulterados.

O Cloud Run Threat Detection é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Reveja os detalhes da descoberta

1. Abra a descoberta Defense Evasion: Launch Code Compiler Tool In Container conforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Binário do programa: o caminho absoluto do binário executado
     • Argumentos: os argumentos transmitidos durante a execução binária
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do recurso do Cloud Run afetado

3. No separador JSON, tenha em atenção os seguintes campos.

   • resource:
     • project_display_name: o nome do projeto que contém o cluster.
   • finding:
     • processes:
     • binary:
       • path: o caminho completo do ficheiro binário executado.
     • args: os argumentos que foram fornecidos durante a execução do ficheiro binário.

4. Identifique outras conclusões que ocorreram numa altura semelhante para este contentor. As conclusões relacionadas podem indicar que esta atividade foi maliciosa, em vez de uma falha ao seguir as práticas recomendadas.

5. Reveja as definições do contentor afetado.

6. Verifique os registos do contentor afetado.

Investigue métodos de ataque e resposta

1. Reveja a entrada da framework MITRE ATT&CK para este tipo de descoberta: Ficheiros ou informações ocultas: compilação após a entrega.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Implemente a sua resposta

Para ver recomendações de respostas, consulte o artigo Responda a resultados de ameaças do Cloud Run.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.