Privilege Escalation: alterações a objetos RBAC do Kubernetes confidenciais

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

Para aumentar o privilégio, um interveniente potencialmente malicioso tentou modificar um objeto de controlo de acesso baseado em funções (CABF) ClusterRole, RoleBinding ou ClusterRoleBinding da função sensível cluster-admin através de um pedido PUT ou PATCH.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra a Privilege Escalation: Changes to sensitive Kubernetes RBAC objectsdescoberta conforme indicado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • Email principal: a conta que fez a chamada.
     • Nome do método: o método que foi chamado.
     • Associações do Kubernetes: a associação ou o ClusterRoleBinding sensível do Kubernetes que foi modificado.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome a apresentar do recurso: o cluster do Kubernetes onde a ação ocorreu.
   • Links relacionados, especialmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.

3. Na secção O que foi detetado, clique no nome da associação na linha Associações do Kubernetes. São apresentados os detalhes da associação.

4. Na associação apresentada, tome nota dos detalhes da associação.

Passo 2: verifique os registos

1. No separador Resumo dos detalhes da descoberta na Google Cloud consola, aceda ao Explorador de registos clicando no link no campo URI do Cloud Logging.

2. Se o valor em Nome do método foi um método PATCH, verifique o corpo do pedido para ver que propriedades foram modificadas.

   Em chamadas update (PUT), o objeto completo é enviado no pedido, pelo que as alterações não são tão claras.

3. Verifique outras ações realizadas pelo principal através dos seguintes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Substitua o seguinte:

   • CLUSTER_NAME: o valor que anotou no campo Nome a apresentar do recurso nos detalhes da descoberta.

   • PRINCIPAL_EMAIL: o valor que anotou no campo Email principal nos detalhes da descoberta.

Passo 3: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Privilege Escalation
2. Confirme a sensibilidade do objeto e se a modificação é justificada.
3. Para associações, pode verificar o assunto e investigar se o assunto precisa da função à qual está associado.
4. Determine se existem outros sinais de atividade maliciosa por parte do principal nos registos.

5. Se o email principal não for uma conta de serviço, contacte o proprietário da conta para confirmar se o proprietário legítimo realizou a ação.

   Se o email principal for uma conta de serviço (IAM ou Kubernetes), identifique a origem da modificação para determinar a respetiva legitimidade.

6. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.