Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Um processo foi detectado gerando comandos comuns do UNIX por um soquete de rede, emulando potencialmente um shell reverso. Esse comportamento sugere uma tentativa de estabelecer acesso remoto não autorizado ao sistema, concedendo ao invasor a capacidade de executar comandos arbitrários como se estivesse interagindo diretamente com a máquina comprometida. Os adversários costumam usar shells reversos para burlar as restrições de firewall e ganhar controle persistente sobre um destino. A detecção da execução de comandos iniciada por um soquete significa um risco de segurança significativo, já que permite uma ampla variedade de atividades maliciosas, incluindo exfiltração de dados, movimentação lateral e mais exploração. Isso torna a detecção um achado crítico que exige investigação imediata para identificar a origem da conexão e as ações realizadas.
A detecção de ameaças do Cloud Run é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Analisar os detalhes da descoberta
Abra a descoberta
Execution: Possible Remote Command Execution Detected, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.Na guia Resumo, confira as informações nas seções abaixo.
- O que foi detectado, especialmente os seguintes campos:
- Binário do programa: o caminho absoluto do binário executado
- Argumentos: os argumentos transmitidos durante a execução do binário.
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso afetado do Cloud Run.
- O que foi detectado, especialmente os seguintes campos:
Na guia JSON, observe os campos a seguir.
resource:project_display_name: o nome do projeto que contém o recurso afetado do Cloud Run.
finding:processes:binary:path: o caminho completo do binário executado.
args: os argumentos fornecidos quando o binário foi executado.
Identifique outras descobertas que ocorreram em um momento semelhante para o contêiner afetado. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.
Revise as configurações do contêiner afetado.
Verifique os registros desse contêiner.
Pesquisar métodos de ataque e resposta
- Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Intérprete de comandos e scripts.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.
Implementar a resposta
Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.