Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Biner yang dieksekusi, dengan biner:
- Disertakan dalam image container asli.
- Diubah selama runtime container.
- Diidentifikasi sebagai berbahaya berdasarkan threat intelligence.
Penyerang biasanya menginstal alat eksploitasi dan malware setelah kompromi awal.
Container Threat Detection adalah sumber temuan ini.
Cara merespons
Untuk merespons temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Execution: Modified Malicious Binary Executedseperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.Di tab Ringkasan, tinjau informasi di bagian berikut:
- Yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut biner yang diubah.
- Argumen: argumen yang diberikan saat memanggil biner yang diubah.
- Container: nama container yang terpengaruh.
- URI container: nama image container yang di-deploy.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: nama lengkap resource cluster yang mencakup nomor project, lokasi, dan nama cluster.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Yang terdeteksi, terutama kolom berikut:
Klik JSON dan catat kolom berikut:
sourceProperties:VM_Instance_Name: nama node GKE tempat Pod dieksekusi.
Langkah 2: Tinjau cluster dan node
Di Google Cloud konsol, buka halaman Kubernetes clusters.
Di Google Cloud toolbar konsol, pilih project yang tercantum di
resource.project_display_name, jika perlu.Pilih cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan. Catat metadata apa pun tentang cluster dan pemiliknya.
Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name.Klik tab Details dan catat anotasi
container.googleapis.com/instance_id.
Langkah 3: Tinjau Pod
Di Google Cloud konsol, buka halaman Kubernetes Workloads.
Di toolbar konsol, pilih project yang tercantum di
resource.project_display_name, jika perlu. Google CloudFilter pada cluster yang tercantum di baris Nama lengkap resource di tab Ringkasan detail temuan dan namespace Pod yang tercantum di
Pod_Namespace, jika perlu.Pilih Pod yang tercantum di
Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di Google Cloud konsol, buka Logs Explorer.
Di toolbar konsol, pilih project yang tercantum di
resource.project_display_name, jika perlu. Google CloudTetapkan Select time range ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Namemenggunakan filter berikut:resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki container yang berjalan
Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.
Buka konsol Google Cloud .
Di Google Cloud toolbar konsol, pilih project yang tercantum di
resource.project_display_name, jika perlu.Klik Activate Cloud Shell
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project project_nameUntuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project project_nameGanti kode berikut:
cluster_name: cluster yang tercantum diresource.labels.cluster_namelocation: lokasi yang tercantum diresource.labels.locationproject_name: nama project yang tercantum diresource.project_display_name
Ambil biner berbahaya yang diubah:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_fileGanti
local_filedengan jalur lokal untuk menyimpan biner berbahaya yang diubah.Hubungkan ke lingkungan container:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/shPerintah ini mengharuskan container memiliki shell yang diinstal di
/bin/sh.
Langkah 6: Riset metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Ingress Tool Transfer, Native API.
- Periksa nilai hash SHA-256 untuk program biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
- Hubungi pemilik project dengan container yang terganggu.
- Hentikan atau hapus container yang terganggu dan ganti dengan container baru.
Langkah berikutnya
- Pelajari cara menggunakan temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui Google Cloud konsol.
- Pelajari tentang layanan yang menghasilkan temuan ancaman.