Escalamento de privilégios: criação de associações do Kubernetes confidenciais

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Para aumentar o privilégio, um interveniente potencialmente malicioso tentou criar um novo objeto RoleBinding ou ClusterRoleBinding para a função cluster-admin.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra a Privilege Escalation: Creation of sensitive Kubernetes bindingsdescoberta conforme indicado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: a conta que fez a chamada.
     • Associações do Kubernetes: a associação sensível do Kubernetes ou ClusterRoleBinding que foi criada.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome a apresentar do recurso: o cluster do Kubernetes onde a ação ocorreu.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

Passo 2: verifique os registos

1. No separador Resumo dos detalhes da descoberta na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging.

2. Verifique outras ações realizadas pelo principal através dos seguintes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Substitua o seguinte:

   • CLUSTER_NAME: o valor que anotou no campo Nome a apresentar do recurso nos detalhes da descoberta.

   • PRINCIPAL_EMAIL: o valor que anotou no campo Email principal nos detalhes da descoberta.

Passo 3: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Aumento de privilégios.
2. Confirme a sensibilidade da associação criada e se as funções são necessárias para os sujeitos.
3. Para associações, pode verificar o assunto e investigar se o assunto precisa da função à qual está associado.
4. Determine se existem outros sinais de atividade maliciosa por parte do principal nos registos.

5. Se o email principal não for uma conta de serviço, contacte o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.

   Se o email principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da ação para determinar a respetiva legitimidade.

6. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.