本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
系統偵測到某個程序在容器環境中啟動程式碼編譯器工具。這種行為表示可能有人嘗試在隔離容器中開發或編譯惡意軟體,藉此混淆惡意活動並規避傳統的主機型安全控管措施。攻擊者可能會利用這項技術建立自訂工具,或在較少受到審查的環境中修改現有二進位檔,然後將這些工具部署到基礎系統或其他目標。如果容器中出現程式碼編譯器 (尤其是非預期出現),就應進行調查,因為這可能表示攻擊者準備導入持續性後門,或透過遭竄改的二進位檔入侵用戶端軟體。
Cloud Run Threat Detection 是這項發現的來源。
回應方式
如要回應這項發現,請按照下列步驟操作:
查看發現項目詳細資料
按照「查看結果」一文中的指示,開啟
Defense Evasion: Launch Code Compiler Tool In Container發現項目。 查看「摘要」和「JSON」分頁中的詳細資料。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,尤其是下列欄位:
- 程式二進位檔:執行的二進位檔絕對路徑
- 引數:在二進位檔執行期間傳遞的引數
- 受影響的資源,尤其是下列欄位:
- 完整資源名稱:受影響 Cloud Run 資源的完整資源名稱
- 偵測到的內容,尤其是下列欄位:
在「JSON」分頁中,請注意下列欄位。
resource:project_display_name:包含叢集的專案名稱。
finding:processes:binary:path:執行的二進位檔完整路徑。
args:執行二進位檔時提供的引數。
找出這個容器在類似時間發生的其他發現項目。 相關發現可能指出這項活動是惡意活動,而非未遵循最佳做法。
查看受影響容器的設定。
檢查受影響容器的記錄。
研究攻擊和回應方法
- 查看這類發現的 MITRE ATT&CK 架構項目: Obfuscated Files or Information: Compile After Delivery。
- 如要制定回應計畫,請將調查結果與 MITRE 研究結合。
實作回覆內容
如需回應建議,請參閱「回應 Cloud Run 威脅發現」。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅調查結果的服務。