URL Berbahaya Teramati

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang dapat dieksekusi. Penyerang dapat memuat malware atau library berbahaya melalui URL berbahaya.

Container Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malicious URL Observed seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Summary.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • URI: URI berbahaya yang diamati.
     • Biner ditambahkan: jalur lengkap biner proses yang menerima argumen yang berisi URL berbahaya.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Environment variables: variabel lingkungan yang berlaku saat biner proses dipanggil.
     • Containers: nama container.
     • Kubernetes pods: nama pod dan namespace.
   • Affected resource, terutama kolom berikut:
     • Resource display name: nama resource yang terpengaruh.
     • Nama lengkap resource: nama lengkap resource cluster. Nama lengkap resource mencakup informasi berikut:
       • Project yang berisi cluster: projects/PROJECT_ID
       • Lokasi tempat cluster berada: either zone/ZONE or locations/LOCATION
       • Nama cluster: projects/CLUSTER_NAME
   • Related links, terutama kolom berikut:
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.

3. Di tab JSON, di atribut sourceProperties, catat nilai properti VM_Instance_Name.

Langkah 2: Tinjau cluster dan node

1. Di Google Cloud konsol, buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Di Google Cloud toolbar konsol, pilih project yang muncul di Resource full name (resource.name), jika perlu. Nama project muncul setelah /projects/ di nama lengkap resource.

3. Klik nama cluster yang Anda catat di Resource display name (resource.display_name) ringkasan temuan. Halaman Clusters akan terbuka.

4. Di Metadata section di **Cluster details page, catat informasi yang ditentukan pengguna yang mungkin berguna dalam mengatasi ancaman, seperti informasi yang mengidentifikasi pemilik cluster.

5. Klik tab Nodes.

6. Dari node yang tercantum, pilih node yang cocok dengan nilai VM_Instance_Name yang Anda catat di JSON temuan sebelumnya.

7. Di tab Details halaman Node details, di bagian Annotations, catat nilai container.googleapis.com/instance_id anotasi.

Langkah 3: Tinjau Pod

1. Di Google Cloud konsol, buka halaman Kubernetes Workloads.

   Buka Workload Kubernetes

2. Di Google Cloud toolbar konsol, pilih project yang Anda catat di Resource full name (resource.name) cluster di ringkasan temuan, jika perlu.

3. Klik Show system workloads.

4. Filter daftar workload berdasarkan nama cluster yang Anda catat di Resource full name (resource.name) ringkasan temuan dan, jika perlu, Namespace (kubernetes.pods.ns) pod yang Anda catat.

5. Klik nama workload yang cocok dengan nilai properti VM_Instance_Name yang Anda catat di JSON temuan sebelumnya. Halaman Pod details akan terbuka.

6. Di halaman Pod details, catat informasi apa pun tentang Pod yang mungkin membantu Anda mengatasi ancaman.

Langkah 4: Periksa log

1. Di Google Cloud konsol, buka Logs Explorer.

   Buka Logs Explorer

2. Di Google Cloud toolbar konsol, pilih project yang muncul di Resource full name (resource.name), jika perlu.

3. Tetapkan Select time range ke periode yang diinginkan.

4. Di halaman yang dimuat, lakukan hal berikut:

   1. Temukan log Pod untuk pod Anda (kubernetes.pods.name) menggunakan filter berikut:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
   2. Temukan log audit cluster menggunakan filter berikut:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
   3. Temukan log konsol node GKE menggunakan filter berikut:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Langkah 5: Selidiki container yang sedang berjalan

Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.

1. Di Google Cloud konsol, buka halaman Kubernetes clusters.

   Buka cluster Kubernetes

2. Klik nama cluster yang ditampilkan di resource.labels.cluster_name.

3. Di halaman Clusters, klik Connect, lalu klik Run in Cloud Shell.

   Cloud Shell diluncurkan dan menambahkan perintah untuk cluster di terminal.

4. Tekan enter dan, jika dialog Authorize Cloud Shell muncul, klik Authorize.

5. Hubungkan ke lingkungan container dengan menjalankan perintah berikut:

     kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
   

   Ganti CONTAINER_NAME dengan nama container yang Anda catat di ringkasan temuan sebelumnya.

   Perintah ini mengharuskan container memiliki shell yang diinstal di /bin/sh.

Langkah 6: Teliti metode serangan dan respons

1. Periksa status situs Safe Browsing untuk mendapatkan detail tentang alasan URL diklasifikasikan sebagai berbahaya.
2. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer.
3. Periksa nilai hash SHA-256 untuk biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di VirusTotal indicator. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.

Langkah 7: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik mengatasi temuan.

• Hubungi pemilik project dengan container yang terganggu.
• Hentikan atau hapus container yang terganggu dan ganti dengan container baru.

Langkah berikutnya

• Pelajari cara menggunakan temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui Google Cloud konsol.
• Pelajari tentang layanan yang menghasilkan temuan ancaman.