הופעל סקריפט זדוני

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

מודל ללמידת מכונה זיהה קוד Bash שהופעל כקוד זדוני. תוקפים יכולים להשתמש ב-Bash כדי להעביר כלים ולהריץ פקודות בלי קבצים בינאריים. חשוב מאוד לשמור על הקונטיינרים כבלתי ניתנים לשינוי. שימוש בסקריפטים להעברת כלים מחקה את טכניקת התוקף של העברת כלי כניסה ומוביל לזיהויים לא רצויים.

Cloud Run Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

1. פותחים את הממצא Malicious Script Executed כמו שמתואר במאמר בדיקת הממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.

2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

   • מה זוהה, במיוחד השדות הבאים:
     • Program binary: פרטים על המפרש שהפעיל את הסקריפט
     • ‫Script: הנתיב המוחלט של שם הסקריפט בדיסק. המאפיין הזה מופיע רק בסקריפטים שנכתבו בדיסק, ולא בהרצה מילולית של סקריפט. לדוגמה: bash -c
     • ארגומנטים: הארגומנטים שסופקו כשמפעילים את הסקריפט
   • מקור המידע שהושפע, במיוחד השדות הבאים:
     • ‫Resource full name (השם המלא של המשאב): השם המלא של המשאב של משאב Cloud Run שהושפע
   • קישורים רלוונטיים, במיוחד השדה הבא:
     • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal

3. בכרטיסייה JSON, שימו לב לשדות הבאים:

   • finding:
     • processes:
     • script:
       • ‫contents: התוכן של הסקריפט שהופעל, שעשוי להיות קטוע מסיבות שקשורות לביצועים. יכול לעזור לכם בחקירה.
       • ‫sha256: גיבוב SHA-256 של script.contents
   • resource:
     • ‫project_display_name: שם הפרויקט שמכיל את הנכס.

4. חפשו ממצאים קשורים שהתרחשו בזמן דומה עבור המאגר המושפע. לדוגמה, אם הסקריפט משחרר קובץ בינארי, צריך לבדוק אם יש ממצאים שקשורים לקובץ הבינארי. ממצאים כאלה עשויים להצביע על כך שהפעילות הייתה זדונית, ולא על אי-פעולה לפי השיטות המומלצות.

5. בודקים את ההגדרות של מאגר התגים שהושפע.

6. בודקים את היומנים של מאגר התגים המושפע.

מחקר של שיטות התקפה ותגובה

1. בודקים את הערכים במסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Command and Scripting Interpreter ו-Ingress Tool Transfer.
2. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים ב-Cloud Run.

המאמרים הבאים

• איך עובדים עם ממצאי איומים ב-Security Command Center
• אפשר לעיין באינדקס של ממצאי איומים.
• איך בודקים ממצא דרך מסוף Google Cloud .
• מידע על השירותים שמפיקים ממצאים לגבי איומים