Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Eksekusi: Python berbahaya dieksekusi

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Model machine learning mengidentifikasi kode Python yang dieksekusi sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat dan menjalankan perintah tanpa biner. Menjaga container Anda tetap tidak dapat diubah adalah praktik yang penting . Menggunakan skrip untuk mentransfer alat meniru teknik penyerang dalam mentransfer alat masuk dan dapat menyebabkan deteksi yang tidak diinginkan.

Deteksi Ancaman Cloud Run adalah sumber temuan ini.

Cara merespons

Untuk merespons temuan ini, lakukan hal berikut:

Meninjau detail temuan

Buka temuan Execution: Malicious Python executed seperti yang diarahkan di Meninjau temuan. Tinjau detail di tab Ringkasan dan JSON.
Di tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
  - Biner program: detail tentang interpreter yang memanggil skrip
  - Skrip: jalur absolut nama skrip di disk; atribut ini hanya muncul untuk skrip yang ditulis ke disk, bukan untuk eksekusi skrip literal—misalnya, python3 -c
  - Argumen: argumen yang diberikan saat memanggil skrip
- Resource yang terpengaruh, terutama kolom berikut:
  - Nama lengkap resource: nama lengkap resource Cloud Run yang terpengaruh
- Link terkait, terutama kolom berikut:
  - Indikator VirusTotal: link ke halaman analisis VirusTotal
Di tab JSON, perhatikan kolom berikut:
- finding:
  - processes:
  - script:
    - contents: konten skrip yang dieksekusi, yang mungkin dipangkas karena alasan performa; hal ini dapat membantu penyelidikan Anda
    - sha256: hash SHA-256 dari script.contents
- resource:
  - project_display_name: nama project yang berisi aset.
Cari temuan terkait yang terjadi pada waktu yang sama untuk container yang terpengaruh. Misalnya, jika skrip menjatuhkan biner, periksa temuan yang terkait dengan biner. Temuan tersebut mungkin menunjukkan bahwa aktivitas ini berbahaya, bukan kegagalan untuk mengikuti praktik terbaik.
Tinjau setelan container yang terpengaruh.
Periksa log untuk container yang terpengaruh.

Meneliti metode serangan dan respons

Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter dan Ingress Tool Transfer.
Periksa nilai hash SHA-256 untuk program biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Menerapkan respons Anda

Untuk rekomendasi respons, lihat Merespons temuan ancaman Cloud Run findings.

Langkah berikutnya

Pelajari cara menggunakan temuan ancaman di Security Command Center.
Lihat Indeks temuan ancaman.
Pelajari cara meninjau temuan melalui Google Cloud konsol.
Pelajari tentang layanan yang menghasilkan temuan ancaman.