Esecuzione: Possibile esecuzione di comando remoto rilevata

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati di minaccia vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle risorse cloud. Per un elenco completo dei risultati di minaccia disponibili, consulta l'indice dei risultati di minaccia.

Panoramica

È stato rilevato un processo che genera comandi UNIX comuni tramite un socket di rete, potenzialmente emulando una reverse shell. Questo comportamento suggerisce un tentativo di stabilire un accesso remoto non autorizzato al sistema, che consente all'aggressore di eseguire comandi arbitrari come se interagisse direttamente con la macchina compromessa. Gli avversari utilizzano spesso le reverse shell per aggirare le restrizioni del firewall e ottenere il controllo persistente di una destinazione. Il rilevamento dell'esecuzione di comandi avviata tramite un socket indica un rischio per la sicurezza significativo, in quanto consente un'ampia gamma di attività dannose, tra cui l'esfiltrazione dei dati, lo spostamento laterale e un ulteriore sfruttamento, il che lo rende un risultato critico che richiede un'indagine immediata per identificare l'origine della connessione e le azioni eseguite.

Container Threat Detection è l'origine di questo risultato.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri un risultato Execution: Possible Remote Command Execution Detected come indicato in Esaminare i risultati. Si apre il riquadro dei dettagli del risultato nella scheda Riepilogo.

  2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Programma binario: il percorso assoluto del file binario eseguito.
      • Argomenti: gli argomenti passati durante l'esecuzione del file binario.
    • Risorsa interessata, in particolare i seguenti campi:
      • Nome completo della risorsa: il nome completo della risorsa del cluster, inclusi il numero del progetto, la località e il nome del cluster.
  3. Nella visualizzazione dei dettagli del risultato, fai clic sulla scheda JSON.

  4. Nel JSON, prendi nota dei seguenti campi.

    • resource:
      • project_display_name: il nome del progetto che contiene il cluster.
    • finding:
      • processes:
      • binary:
        • path: il percorso completo del file binario eseguito.
      • args: gli argomenti forniti durante l'esecuzione del file binario.
    • sourceProperties:
      • Pod_Namespace: il nome dello spazio dei nomi Kubernetes del pod.
      • Pod_Name: il nome del pod GKE.
      • Container_Name: il nome del container interessato.
      • Container_Image_Uri: il nome dell'immagine container di cui è in corso il deployment.
      • VM_Instance_Name: il nome del nodo GKE in cui è stato eseguito il pod.
  5. Identifica altri risultati che si sono verificati in un momento simile per questo container. I risultati correlati potrebbero indicare che questa attività era dannosa, anziché un mancato rispetto delle best practice.

Passaggio 2: esamina il cluster e il nodo

  1. Nella Google Cloud console, vai alla pagina Cluster Kubernetes.

    Vai ai cluster Kubernetes

  2. Nella barra degli strumenti della Google Cloud console, seleziona il progetto elencato in resource.project_display_name, se necessario.

  3. Seleziona il cluster elencato nella riga Nome completo della risorsa nella scheda Riepilogo dei dettagli del risultato. Prendi nota di eventuali metadati sul cluster e sul relativo proprietario.

  4. Fai clic sulla scheda Nodi. Seleziona il nodo elencato in VM_Instance_Name.

  5. Fai clic sulla scheda Dettagli e prendi nota dell'annotazione container.googleapis.com/instance_id.

Passaggio 3: esamina il pod

  1. Nella Google Cloud console, vai alla pagina Carichi di lavoro Kubernetes.

    Vai ai carichi di lavoro Kubernetes

  2. Nella barra degli strumenti della Google Cloud console, seleziona il progetto elencato in resource.project_display_name, se necessario.

  3. Filtra in base al cluster elencato nella riga Nome completo della risorsa nella scheda Riepilogo dei dettagli del risultato e allo spazio dei nomi del pod elencato in Pod_Namespace, se necessario.

  4. Seleziona il pod elencato in Pod_Name. Prendi nota di eventuali metadati sul pod e sul relativo proprietario.

Passaggio 4: controlla i log

  1. Nella Google Cloud console, vai a Esplora log.

    Vai a Esplora log

  2. Nella barra degli strumenti della Google Cloud console, seleziona il progetto elencato in resource.project_display_name, se necessario.

  3. Imposta Seleziona intervallo di tempo sul periodo di interesse.

  4. Nella pagina che viene caricata, procedi nel seguente modo:

    1. Trova i log dei pod per Pod_Name utilizzando il seguente filtro:
      • resource.type="k8s_container"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="POD_NAMESPACE"
      • resource.labels.pod_name="POD_NAME"
    2. Trova gli audit log del cluster utilizzando il seguente filtro:
      • logName="projects/RESOURCE.PROJECT_DISPLAY_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="RESOURCE.PROJECT_DISPLAY_NAME"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • POD_NAME
    3. Trova i log della console dei nodi GKE utilizzando il seguente filtro:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Passaggio 5: esamina il container in esecuzione

Se il container è ancora in esecuzione, potrebbe essere possibile esaminare direttamente l'ambiente container.

  1. Vai alla Google Cloud console.

    Apri Google Cloud console

  2. Nella barra degli strumenti della Google Cloud console, seleziona il progetto elencato in resource.project_display_name, se necessario.

  3. Fai clic su Attiva Cloud Shell

  4. Recupera le credenziali GKE per il tuo cluster eseguendo i seguenti comandi.

    Per i cluster di zona:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --zone LOCATION \
          --project PROJECT_NAME
    

    Per i cluster a livello di regione:

    gcloud container clusters get-credentials CLUSTER_NAME \
          --region LOCATION \
          --project PROJECT_NAME
    

    Sostituisci quanto segue:

    • CLUSTER_NAME: il cluster elencato in resource.labels.cluster_name
    • LOCATION: la località elencata in resource.labels.location
    • PROJECT_NAME: il nome del progetto elencato in resource.project_display_name
  5. Recupera il file binario eseguito:

    kubectl cp \
          POD_NAMESPACE/POD_NAME:PROCESS_BINARY_FULLPATH \
          -c CONTAINER_NAME \
          LOCAL_FILE
    

    Sostituisci local_file con un percorso di file locale per archiviare il file binario aggiunto.

  6. Connettiti all'ambiente container eseguendo il seguente comando:

    kubectl exec \
          --namespace=POD_NAMESPACE \
          -ti POD_NAME \
          -c CONTAINER_NAME \
          -- /bin/sh
    

    Questo comando richiede che nel container sia installata una shell in /bin/sh.

Passaggio 6: ricerca i metodi di attacco e risposta

  1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Interprete di comandi e script.
  2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 7: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  • Contatta il proprietario del progetto con il container compromesso.
  • Arresta o elimina il container compromesso e sostituiscilo con un nuovo container.

Passaggi successivi