偵測到惡意網址

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

Container Threat Detection 在可執行程序的引數清單中發現惡意網址。攻擊者可以透過惡意網址載入惡意軟體或惡意程式庫。

Container Threat Detection 是這項發現的來源。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Malicious URL Observed 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,尤其是下列欄位:
      • URI:偵測到的惡意 URI。
      • 新增的二進位檔:接收含有惡意網址引數的程序二進位檔完整路徑。
      • 引數:叫用程序二進位檔時提供的引數。
      • 環境變數:叫用程序二進位檔時生效的環境變數。
      • 容器:容器名稱。
      • Kubernetes Pod:Pod 名稱和命名空間。
    • 受影響的資源,尤其是下列欄位:
      • 資源顯示名稱:受影響資源的名稱。
      • 完整資源名稱:叢集的完整資源名稱。完整資源名稱包含下列資訊:
        • 含有叢集的專案:projects/PROJECT_ID
        • 叢集所在位置:zone/ZONElocations/LOCATION
        • 叢集名稱:projects/CLUSTER_NAME
    • 相關連結,尤其是下列欄位:
      • VirusTotal 指標:連結至 VirusTotal 分析頁面。

  3. 在「JSON」分頁的 sourceProperties 屬性中,記下 VM_Instance_Name 屬性的值。

步驟 2:檢查叢集和節點

  1. 在 Google Cloud 控制台中,前往「Kubernetes clusters」(Kubernetes 叢集) 頁面。

    前往 Kubernetes 叢集

  2. 在 Google Cloud 控制台工具列中,選取「資源完整名稱」() (resource.name) 中顯示的專案 (如有必要)。專案名稱會顯示在完整資源名稱的 /projects/ 後方。

  3. 按一下發現摘要「資源顯示名稱」(resource.display_name) 中記錄的叢集名稱。「叢集」頁面隨即開啟。

  4. 在「叢集詳細資料」頁面的「中繼資料」部分,記下任何有助於解決威脅的使用者定義資訊,例如可識別叢集擁有者的資訊。

  5. 按一下「節點」分頁標籤。

  6. 從列出的節點中,選取與您先前在發現項目 JSON 中記下的 VM_Instance_Name 值相符的節點。

  7. 在「Node details」(節點詳細資料) 頁面的「Details」(詳細資料) 分頁中,於「Annotations」(註解) 區段記下 container.googleapis.com/instance_id 註解的值。

步驟 3:查看 Pod

  1. 前往 Google Cloud 控制台的「Kubernetes Workloads」(Kubernetes 工作負載) 頁面。

    前往 Kubernetes 工作負載

  2. 在 Google Cloud 控制台工具列中,視需要選取您在調查結果摘要中,於叢集的「資源完整名稱」 (resource.name) 記下的專案。

  3. 按一下「顯示系統工作負載」

  4. 依據您在「資源完整名稱」 (resource.name) 發現摘要中記下的叢集名稱,篩選工作負載清單,並視需要依據您記下的 Pod「命名空間」 (kubernetes.pods.ns) 篩選。

  5. 按一下與您先前在發現項目 JSON 中記下的 VM_Instance_Name 屬性值相符的工作負載名稱。「Pod details」(Pod 詳細資料) 頁面隨即開啟。

  6. 在「Pod 詳細資料」頁面中,記下 Pod 的任何資訊,這可能有助於解決威脅。

步驟 4:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 在 Google Cloud 控制台工具列中,選取「資源完整名稱」(resource.name) 顯示的專案 (如有需要)。

  3. 將「選取時間範圍」設為感興趣的時間範圍。

  4. 在隨即載入的頁面中,執行下列操作:

    1. 使用下列篩選器,找出 Pod (kubernetes.pods.name) 的 Pod 記錄:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
    2. 使用下列篩選器尋找叢集稽核記錄:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
    3. 使用下列篩選器,找出 GKE 節點控制台記錄:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

步驟 5:調查執行中的容器

如果容器仍在執行,或許可以直接調查容器環境。

  1. 在 Google Cloud 控制台中,前往「Kubernetes clusters」(Kubernetes 叢集) 頁面。

    前往 Kubernetes 叢集

  2. 按一下 resource.labels.cluster_name 中顯示的叢集名稱。

  3. 在「叢集」頁面中,按一下「連線」,然後點選「在 Cloud Shell 中執行」

    Cloud Shell 會啟動,並在終端機中新增叢集的指令。

  4. 按下 Enter 鍵,如果出現「Authorize Cloud Shell」(授權 Cloud Shell) 對話方塊,請按一下「Authorize」(授權)

  5. 執行下列指令,連線至容器環境:

      kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh

    CONTAINER_NAME 替換為您稍早記下的容器名稱。

    這個指令需要容器在 /bin/sh 安裝 Shell。

步驟 6:研究攻擊和應變方法

  1. 查看安全瀏覽網站狀態,瞭解網址遭歸類為惡意的原因。
  2. 查看這類發現項目的 MITRE ATT&CK 架構項目: Ingress Tool Transfer
  3. VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
  4. 如要制定回應計畫,請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

步驟 7:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭入侵的容器所屬專案擁有者聯絡。
  • 停止或刪除遭入侵的容器,並換成新容器

後續步驟