ביצוע: הפעלת תוכנית עם סביבת Proxy ל-HTTP לא מורשית

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

הופעלה תוכנית עם משתנה סביבה של שרת proxy מסוג HTTP שלא מורשה. הפעילות הזו יכולה להצביע על ניסיון לעקוף אמצעי בקרה לאבטחה, להפנות תנועה למטרות זדוניות או להעביר נתונים דרך ערוצים לא מורשים. תוקפים יכולים להגדיר שרתי proxy של HTTP שאסורים לשימוש כדי ליירט מידע רגיש, לנתב תנועה דרך שרתים זדוניים או ליצור ערוצי תקשורת סמויים. זיהוי ההפעלה של תוכניות עם משתני הסביבה האלה הוא חיוני לשמירה על אבטחת הרשת ולמניעת פרצות אבטחה.

Cloud Run Threat Detection הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

בדיקת פרטי הממצא

  1. פותחים את הממצא Execution: Program Run with Disallowed HTTP Proxy Env לפי ההוראות שבקטע בדיקת הממצאים. בודקים את הפרטים בכרטיסיות סיכום וJSON.

  2. בכרטיסייה Summary (סיכום), בודקים את המידע בקטעים הבאים.

    • מה זוהה, במיוחד השדות הבאים:
      • קובץ בינארי של התוכנית: הנתיב המוחלט של הקובץ הבינארי שהופעל
      • ארגומנטים: הארגומנטים שמועברים במהלך ביצוע קובץ בינארי
    • מקור המידע שהושפע, במיוחד השדות הבאים:

  3. בכרטיסייה JSON, שימו לב לשדות הבאים.

    • resource:
      • project_display_name: השם של הפרויקט שמכיל את המשאב המושפע ב-Cloud Run
    • finding:
      • processes:
        • binary:
        • path: הנתיב המלא של הקובץ הבינארי שהופעל
      • args: הארגומנטים שסופקו כשקובץ הבינארי הופעל

  4. לזהות ממצאים אחרים שהתרחשו בזמן דומה עבור המאגר המושפע. ממצאים קשורים עשויים להצביע על כך שהפעילות הזו הייתה זדונית, ולא על כך שלא פעלת לפי השיטות המומלצות.

  5. בודקים את ההגדרות של מאגר התגים שהושפע.

  6. בודקים את היומנים של מאגר התגים המושפע.

מחקר של שיטות התקפה ותגובה

  1. כדאי לעיין בערכים של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: User Execution.
  2. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם מחקר של MITRE.

יישום התשובה

המלצות לתגובה מופיעות במאמר תגובה לממצאי איומים ב-Cloud Run.

המאמרים הבאים