Shell filho inesperado

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

A Detecção de ameaças do Cloud Run observou um processo que gerou inesperadamente um processo shell filho. Esse evento pode indicar que um invasor está tentando abusar de comandos e scripts do shell.

A detecção de ameaças do Cloud Run é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Analisar os detalhes da descoberta

1. Abra a descoberta Unexpected Child Shell, conforme explicado em Analisar uma descoberta. Confira os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seções abaixo.

   • O que foi detectado, especialmente os seguintes campos:
     • Processo pai: o processo que criou inesperadamente o processo do shell filho
     • Processo filho: o processo do shell filho
     • Argumentos: os argumentos fornecidos para o binário de processo do shell filho
     • Variáveis de ambiente: as variáveis de ambiente de processo do shell binário filho
     • Contêineres: o nome do contêiner
     • URI dos contêineres: o URI da imagem do contêiner
   • Recurso afetado, especialmente os seguintes campos:
     • Nome de exibição do recurso: o nome do recurso afetado.
     • Nome completo do recurso: o nome completo do recurso afetado do Cloud Run.
   • Links relacionados, principalmente o seguinte campo:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal

3. Na guia JSON, observe os campos a seguir:

   • processes: uma matriz contendo todos os processos relacionados à descoberta. Essa matriz inclui o processo do shell filho e o processo pai.
   • resource:
     • project_display_name: nome do projeto que contém os recursos.

4. Procure descobertas relacionadas que ocorreram em um momento semelhante para o contêiner afetado. Essas descobertas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

5. Revise as configurações do contêiner afetado.

6. Verifique os registros desse contêiner.

Pesquisar métodos de ataque e resposta

1. Analise a entrada do framework MITRE ATT&CK para esse tipo de descoberta: Intérprete de comando e scripting: Unix Shell.
2. Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir

• Saiba como usar descobertas de ameaças no Security Command Center.
• Consulte Índice de descobertas de ameaças.
• Aprenda a analisar uma descoberta no console do Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.