Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.
Visão geral
Um binário que foi executado, com o binário:
- Incluído na imagem do contêiner original.
- Modificado durante o ambiente de execução do contêiner.
- Identificado como mal-intencionado com base na inteligência contra ameaças.
Os invasores geralmente instalam ferramentas de exploração e malware após o comprometimento inicial.
A Detecção de Ameaças em Contêiner é a origem dessa descoberta.
Como responder
Para responder a essa descoberta:
Etapa 1: verificar os detalhes da descoberta
Abra uma descoberta
Execution: Modified Malicious Binary Executed, conforme explicado em Analisar uma descoberta. O painel de detalhes da descoberta é aberto na guia Resumo.Na guia Resumo, confira as informações nas seguintes seções:
- O que foi detectado, especialmente os seguintes campos:
- Binário do programa: o caminho absoluto do binário modificado.
- Argumentos: os argumentos fornecidos ao invocar o binário modificado.
- Contêineres: o nome do contêiner afetado.
- URI dos contêineres: o nome da imagem do contêiner que está sendo implantada.
- Recurso afetado, especialmente os seguintes campos:
- Nome completo do recurso: o nome completo do recurso do cluster, inclusive o número, o local e o nome do cluster do projeto.
- Links relacionados, principalmente os seguintes campos:
- Indicador do VirusTotal: link para a página de análise do VirusTotal
- O que foi detectado, especialmente os seguintes campos:
Clique no JSON e observe os seguintes campos:
sourceProperties:VM_Instance_Name: o nome do nó do GKE em que o pod foi executado.
Etapa 2: verificar o cluster e o nó
No console do Google Cloud , acesse a página de clusters do Kubernetes.
Na barra de ferramentas do Google Cloud console do, selecione o projeto listado em
resource.project_display_name, se necessário.Selecione o cluster listado na linha Nome completo do recurso na guia Resumo dos detalhes da descoberta. Anote os metadados sobre o cluster e o proprietário dele.
Clique na guia Nós. Selecione o nó listado em
VM_Instance_Name.Clique na guia Detalhes e anote a anotação
container.googleapis.com/instance_id.
Etapa 3: verificar o pod
No console do Google Cloud , acesse a página Cargas de trabalho do Kubernetes.
Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em
resource.project_display_name, se necessário.Filtre no cluster listado na linha Nome completo do recurso na guia Resumo dos detalhes da descoberta e no namespace do pod listado em
Pod_Namespace, se necessário.Selecione o pod listado em
Pod_Name. Anote os metadados sobre o pod e o proprietário dele.
Etapa 4: verificar os registros
No console do Google Cloud , acesse a Análise de registros.
Na barra de ferramentas do Google Cloud console, selecione o projeto listado em
resource.project_display_name, se necessário.Defina Selecionar período como o período de interesse.
Na página carregada, faça o seguinte:
- Encontre registros de pods para
Pod_Nameusando este filtro:resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- Encontre os registros de auditoria do cluster usando este filtro:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- Encontre os registros do console do nó do GKE usando este filtro:
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- Encontre registros de pods para
Etapa 5: investigar o contêiner em execução
Se o contêiner ainda estiver em execução, talvez seja possível investigar o ambiente do contêiner diretamente.
Acesse o console do Google Cloud .
Na barra de ferramentas do Google Cloud console do, selecione o projeto listado em
resource.project_display_name, se necessário.Clique em Ativar o Cloud Shell.
Veja as credenciais do GKE do cluster executando os comandos a seguir.
Para clusters zonais:
gcloud container clusters get-credentials cluster_name --zone location --project project_namePara clusters regionais:
gcloud container clusters get-credentials cluster_name --region location --project project_nameSubstitua:
cluster_name: o cluster listado emresource.labels.cluster_namelocation: o local listado emresource.labels.locationproject_name: o nome do projeto listado emresource.project_display_name
Recupere o binário mal-intencionado modificado:
kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name local_fileSubstitua
local_filepor um caminho local para armazenar o binário mal-intencionado modificado.Conecte-se ao ambiente do contêiner:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/shEsse comando exige que o contêiner tenha um shell instalado em
/bin/sh.
Etapa 6: pesquisar métodos de ataque e resposta
- Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Transferência de ferramentas de entrada, API nativa.
- Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.
- Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.
Etapa 7: implementar a resposta
O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.
- Entre em contato a pessoa a quem o projeto com o contêiner comprometido pertence.
- Interrompa ou exclua o contêiner comprometido e substitua-o por um novo contêiner.
A seguir
- Saiba como usar descobertas de ameaças no Security Command Center.
- Consulte Índice de descobertas de ameaças.
- Aprenda a analisar uma descoberta no console do Google Cloud .
- Saiba mais sobre os serviços que geram descobertas de ameaças.