Execução: Python malicioso executado

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Um modelo de aprendizagem automática identificou código Python executado como malicioso. Os atacantes podem usar o Python para transferir ferramentas e executar comandos sem ficheiros binários. Manter os contentores imutáveis é uma prática importante. A utilização de scripts para transferir ferramentas imita a técnica de transferência de ferramentas de entrada do atacante e pode resultar em deteções indesejadas.

A Deteção de ameaças do Cloud Run é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Reveja os detalhes da descoberta

1. Abra a descoberta Execution: Malicious Python executed conforme indicado em Rever descobertas. Reveja os detalhes nos separadores Resumo e JSON.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Binário do programa: detalhes sobre o intérprete que invocou o script
     • Script: caminho absoluto do nome do script no disco; este atributo só aparece para scripts escritos no disco e não para a execução literal de scripts, por exemplo, python3 -c
     • Arguments: os argumentos fornecidos quando o script é invocado
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do recurso do Cloud Run afetado
   • Links relacionados, especialmente os seguintes campos:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal

3. No separador JSON, tenha em atenção os seguintes campos:

   • finding:
     • processes:
     • script:
       • contents: conteúdos do script executado, que podem ser truncados por motivos de desempenho; isto pode ajudar na sua investigação
       • sha256: o hash SHA-256 de script.contents
   • resource:
     • project_display_name: o nome do projeto que contém o recurso.

4. Procure conclusões relacionadas que ocorreram numa altura semelhante para o contentor afetado. Por exemplo, se o script eliminar um ficheiro binário, verifique se existem resultados relacionados com o ficheiro binário. Estes resultados podem indicar que esta atividade foi maliciosa, em vez de uma falha no seguimento das práticas recomendadas.

5. Reveja as definições do contentor afetado.

6. Verifique os registos do contentor afetado.

Investigue métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Command and Scripting Interpreter e Ingress Tool Transfer.
2. Verifique o valor hash SHA-256 do ficheiro binário denunciado como malicioso no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a investigação da MITRE e a análise do VirusTotal.

Implemente a sua resposta

Para ver recomendações de respostas, consulte o artigo Responda a resultados de ameaças do Cloud Run.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.