Comando e controle: execução de código codificado em pipe

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

O Command and Control: Piped Encoded Code Execution detecta quando a saída de um comando base64 --decode é transmitida diretamente para um intérprete de shell como python, perl, php, ruby ou ssh.

Quando uma ameaça é encontrada fora de uma carga de trabalho esperada, como um pipeline de CI/CD, isso é um forte indício de atividade maliciosa. Os invasores usam esse método rotineiramente para executar scripts ou comandos ofuscados. A codificação em base64 oculta o código real que está sendo executado, e o redirecionamento direto para um interpretador permite a execução imediata sem gravar o script decodificado no disco, o que o torna mais discreto.

Recomendamos que você sempre tome medidas imediatas quando esse problema ocorrer em uma carga de trabalho inesperada. As cargas de trabalho benignas usam a codificação base64 principalmente para transferir dados binários ou dados que contêm caracteres especiais com segurança por sistemas e protocolos baseados em texto que, de outra forma, poderiam corromper os dados. No entanto, qualquer execução de código pode afetar e comprometer ainda mais seu sistema. Portanto, sempre trate essa descoberta como maliciosa até que seja provado o contrário.

A Detecção de Ameaças em Contêiner é a origem dessa descoberta.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Command and Control: Piped Encoded Code Execution, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seções abaixo.

    • O que foi detectado, especialmente os seguintes campos:
      • Binário do programa: o caminho absoluto do binário executado.
      • Argumentos: os argumentos transmitidos durante a execução do binário.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso do cluster, inclusive o número, o local e o nome do cluster do projeto.

  3. Na visualização detalhada da descoberta, clique na guia JSON.

  4. No JSON, observe os seguintes campos.

    • resource:
      • project_display_name: o nome do projeto que contém o cluster.
    • finding:
      • processes:
      • binary:
        • path: o caminho completo do binário executado.
      • args: os argumentos fornecidos ao executar o binário.
    • sourceProperties:
      • Pod_Namespace: o nome do namespace do Kubernetes do pod.
      • Pod_Name: o nome do pod do GKE.
      • Container_Name: o nome do contêiner afetado.
      • Container_Image_Uri: o nome da imagem do contêiner que está sendo implantada.
      • VM_Instance_Name: o nome do nó do GKE em que o pod foi executado.

  5. Identifique outras descobertas que ocorreram em um momento semelhante para esse contêiner. As descobertas relacionadas podem indicar que essa atividade era mal-intencionada, e não uma falha em seguir as práticas recomendadas.

Etapa 2: verificar o cluster e o nó

  1. No console do Google Cloud , acesse a página de clusters do Kubernetes.

    Acessar os clusters do Kubernetes

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

  3. Selecione o cluster listado na linha Nome completo do recurso na guia Resumo dos detalhes da descoberta. Anote os metadados sobre o cluster e o proprietário dele.

  4. Clique na guia Nós. Selecione o nó listado em VM_Instance_Name.

  5. Clique na guia Detalhes e registre a anotação container.googleapis.com/instance_id.

Etapa 3: verificar o pod

  1. No console do Google Cloud , acesse a página Cargas de trabalho do Kubernetes.

    Acessar Cargas de trabalho do Kubernetes

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

  3. Filtre com base no cluster especificado na linha Nome completo do recurso da guia Resumo nos detalhes da descoberta e, se necessário, pelo namespace do pod listado em Pod_Namespace.

  4. Selecione o pod listado em Pod_Name. Anote os metadados sobre o pod e o proprietário dele.

Etapa 4: verificar os registros

  1. No console do Google Cloud , acesse a Análise de registros.

    Acessar a Análise de registros

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

  3. Defina Selecionar período como o período de interesse.

  4. Na página carregada, faça o seguinte:

    1. Encontre registros de pods para Pod_Name usando este filtro:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
    2. Encontre os registros de auditoria do cluster usando este filtro:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
    3. Encontre os registros do console do nó do GKE usando este filtro:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Etapa 5: investigar o contêiner em execução

Se o contêiner ainda estiver em execução, talvez seja possível investigar o ambiente do contêiner diretamente.

  1. Acesse o console do Google Cloud .

    Abrir o console do Google Cloud

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

  3. Clique em Ativar o Cloud Shell.

  4. Veja as credenciais do GKE do cluster executando os comandos a seguir.

    Para clusters zonais:

    gcloud container clusters get-credentials CLUSTER_NAME \
      --zone LOCATION \
      --project PROJECT_NAME

    Para clusters regionais:

    gcloud container clusters get-credentials CLUSTER_NAME \
      --region LOCATION \
      --project PROJECT_NAME

Substitua:

  • CLUSTER_NAME: o cluster listado em resource.labels.cluster_name
  • LOCATION: o local listado em resource.labels.location
  • PROJECT_NAME: o nome do projeto listado em resource.project_display_name

  1. Recupere o binário executado:

    kubectl cp \
      POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
      -c CONTAINER_NAME \
      LOCAL_FILE

    Substitua LOCAL_FILE por um caminho local para armazenar o binário baixado.

  2. Conecte-se ao ambiente do contêiner executando o seguinte comando:

    kubectl exec \
      --namespace=POD_NAMESPACE \
      -ti POD_NAME \
      -c CONTAINER_NAME \
      -- /bin/sh

    Esse comando exige que o contêiner tenha um shell instalado em /bin/sh.

Etapa 6: pesquisar métodos de ataque e resposta

  1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Comando e controle.
  2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 7: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  • Entre em contato com a pessoa a quem o projeto com o contêiner comprometido pertence.
  • Interrompa ou exclua o contêiner comprometido e substitua-o por um novo contêiner.

A seguir