Ringkasan Cloud Run Threat Detection

Deteksi Ancaman Cloud Run adalah layanan bawaan Security Command Center yang terus-menerus memantau status resource Cloud Run yang didukung untuk mendeteksi serangan runtime yang paling umum. Jika mendeteksi serangan, Cloud Run Threat Detection akan membuat temuan di Security Command Center hampir secara real-time.

Detektor runtime Deteksi Ancaman Cloud Run memantau resource Cloud Run untuk mendeteksi biner dan library yang mencurigakan serta menggunakan pemrosesan bahasa alami (NLP) untuk mendeteksi kode Bash dan Python berbahaya.

Selain itu, pendeteksi bidang kontrol tersedia melalui Event Threat Detection. Detektor ini memantau aliran Cloud Logging organisasi atau project Anda untuk mendeteksi potensi serangan ke control plane resource Cloud Run Anda.

Resource yang didukung

Deteksi Ancaman Cloud Run memantau resource berikut:

Lingkungan eksekusi yang didukung

Lingkungan eksekusi yang didukung berbeda untuk detektor runtime dan detektor bidang kontrol.

Lingkungan eksekusi yang didukung untuk pendeteksi runtime

Detektor runtime Deteksi Ancaman Cloud Run hanya mendukung resource Cloud Run yang berjalan di lingkungan eksekusi generasi kedua. Pertimbangkan hal berikut sebelum mengaktifkan Deteksi Ancaman Cloud Run:

  • Jika Anda mengaktifkan Deteksi Ancaman Cloud Run, Anda tidak dapat membuat layanan Cloud Run atau revisi layanan yang berjalan di lingkungan eksekusi generasi pertama. Layanan Cloud Run harus menggunakan lingkungan eksekusi generasi kedua. Sebaiknya uji beban kerja Anda di lingkungan eksekusi generasi kedua sebelum mengaktifkan Deteksi Ancaman Cloud Run.

  • Untuk mengaktifkan deteksi ancaman runtime untuk layanan, deploy revisi yang menetapkan lingkungan eksekusi layanan ke lingkungan eksekusi generasi kedua atau default.

Lingkungan eksekusi yang didukung untuk pendeteksi bidang kontrol

Detektor bidang kontrol mendukung lingkungan eksekusi generasi pertama dan kedua.

Cara kerja deteksi ancaman runtime Deteksi Ancaman Cloud Run

Saat Anda mengaktifkan Deteksi Ancaman Cloud Run, layanan ini akan mengumpulkan telemetri dari resource Cloud Run yang didukung untuk menganalisis proses, skrip, dan library yang mungkin mengindikasikan serangan runtime. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:

  1. Deteksi Ancaman Cloud Run menggunakan proses pengamat untuk mengumpulkan informasi container dan peristiwa selama durasi lengkap beban kerja Cloud Run. Proses watcher dapat memerlukan waktu hingga 20 detik untuk dimulai.

  2. Cloud Run Threat Detection menganalisis informasi peristiwa yang dikumpulkan untuk menentukan apakah suatu peristiwa menunjukkan adanya insiden. Alat ini menggunakan NLP untuk menganalisis skrip Bash dan Python untuk mencari kode berbahaya.

    • Jika Cloud Run Threat Detection mengidentifikasi insiden, insiden tersebut akan dilaporkan sebagai temuan di Security Command Center.

    • Jika Deteksi Ancaman Cloud Run tidak mengidentifikasi insiden, tidak ada informasi yang disimpan.

    • Semua data yang dikumpulkan bersifat sementara dan tidak disimpan secara persisten.

Untuk mengetahui informasi tentang cara meninjau temuan Deteksi Ancaman Cloud Run di konsolGoogle Cloud , lihat Meninjau temuan.

Masalah umum

  • Instance layanan atau tugas Cloud Run Anda yang berjalan lebih lama dari tujuh hari akan berhenti mengirimkan informasi telemetri.
  • Jika proses watcher berhenti sebelum waktunya di instance layanan atau tugas Cloud Run yang sedang berjalan, proses watcher tidak akan dimulai ulang. Instance berhenti mengirim informasi telemetri ke Deteksi Ancaman Cloud Run. Log Deteksi Ancaman Cloud Run tidak ada dalam log instance. Tidak ada indikator bahwa proses pengamat telah berhenti.

Pendeteksi

Bagian ini mencantumkan detektor bidang kontrol dan runtime yang tersedia. Kami secara rutin menambahkan detektor baru seiring munculnya ancaman cloud baru.

Detektor runtime

Deteksi Ancaman Cloud Run mencakup detektor runtime berikut:

Nama tampilan Nama API Deskripsi
Eksekusi: Program Biner Berbahaya yang Ditambahkan Dieksekusi CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED

Biner yang memenuhi kondisi berikut dieksekusi:

  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman
  • Bukan bagian dari image container asli

Jika program biner berbahaya yang ditambahkan dieksekusi, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka sedang mengeksekusi software berbahaya.

Eksekusi: Pustaka Berbahaya yang Dimuat Ditambahkan CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED

Library yang memenuhi kondisi berikut dimuat:

  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman
  • Bukan bagian dari image container asli

Jika library berbahaya yang ditambahkan dimuat, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya.

Eksekusi: Biner Berbahaya Bawaan Dieksekusi CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED

Biner yang memenuhi kondisi berikut dieksekusi:

  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman
  • Disertakan dalam image container asli

Jika program biner berbahaya bawaan dieksekusi, hal ini menandakan bahwa penyerang sedang men-deploy penampung berbahaya. Mereka mungkin telah mendapatkan kontrol atas repositori gambar atau pipeline build container yang sah dan menyuntikkan biner berbahaya ke dalam image container.

Eksekusi: Container Escape CLOUD_RUN_CONTAINER_ESCAPE

Proses dijalankan dalam container yang mencoba keluar dari isolasi container, menggunakan teknik atau biner yang diketahui. Jenis serangan ini dapat memberi penyerang akses ke sistem host. Proses ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen.

Jika upaya container escape terdeteksi, hal ini mungkin menunjukkan bahwa penyerang mengeksploitasi kerentanan untuk keluar dari container. Akibatnya, penyerang dapat memperoleh akses tidak sah ke sistem host atau infrastruktur yang lebih luas, sehingga membahayakan seluruh lingkungan.

Eksekusi: Eksekusi Alat Serangan Kubernetes CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION

Alat serangan khusus Kubernetes dijalankan dalam lingkungan, yang dapat menunjukkan bahwa penyerang menargetkan komponen cluster Kubernetes. Alat serangan ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen.

Jika alat serangan dijalankan dalam lingkungan Kubernetes, hal ini dapat menunjukkan bahwa penyerang telah mendapatkan akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes.

Eksekusi: Eksekusi Alat Pengintaian Lokal CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION

Alat pengintaian lokal yang biasanya tidak terkait dengan penampung atau lingkungan dieksekusi, yang menunjukkan upaya untuk mengumpulkan informasi sistem internal. Alat pengintaian ini diidentifikasi sebagai potensi ancaman berdasarkan data intelijen.

Jika alat pengintaian dijalankan, hal ini menunjukkan bahwa penyerang mungkin mencoba memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem untuk merencanakan langkah selanjutnya.

Eksekusi: Python berbahaya dieksekusi (Pratinjau) CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED

Model machine learning mengidentifikasi kode Python yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner.

Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Python yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Python yang sudah dikenal dan baru.

Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED

Biner yang memenuhi kondisi berikut dieksekusi:

  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman
  • Disertakan dalam image container asli
  • Diubah dari image container asli selama runtime

Jika biner berbahaya yang dimodifikasi dieksekusi, hal ini merupakan indikasi kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka sedang mengeksekusi software berbahaya.

Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED

Library yang memenuhi kondisi berikut dimuat:

  • Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman
  • Disertakan dalam image container asli
  • Diubah dari image container asli selama runtime

Jika library berbahaya yang dimodifikasi dimuat, hal ini merupakan indikasi kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya.

Skrip Berbahaya Dieksekusi CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED

Model machine learning mengidentifikasi kode Bash yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner.

Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Bash yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi kode Bash berbahaya yang sudah dikenal dan baru.
URL Berbahaya Terdeteksi CLOUD_RUN_MALICIOUS_URL_OBSERVED

Deteksi Ancaman Cloud Run mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan.

Detektor memeriksa URL yang diamati dalam daftar argumen proses yang sedang berjalan berdasarkan daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL keliru diklasifikasikan sebagai situs phishing atau malware, laporkan di Melaporkan Data yang Salah.
Reverse Shell CLOUD_RUN_REVERSE_SHELL

Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Detektor mencari stdin yang terikat ke soket jarak jauh.

Dengan reverse shell, penyerang dapat berkomunikasi dari workload yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintah dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet.

Shell Turunan yang Tidak Terduga CLOUD_RUN_UNEXPECTED_CHILD_SHELL

Proses yang biasanya tidak memanggil shell memunculkan proses shell.

Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor akan menghasilkan temuan jika proses induk diketahui biasanya tidak memanggil shell.

Detektor bidang kontrol

Detektor bidang kontrol berikut tersedia melalui Event Threat Detection. Detektor ini diaktifkan secara default. Anda mengelola detektor ini dengan cara yang sama seperti detektor Event Threat Detection lainnya. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Event Threat Detection.

Nama tampilan Nama API Jenis sumber log Deskripsi
Dampak: Perintah Penambangan Kripto CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS Cloud Audit Logs:
Log audit Peristiwa Sistem IAM 		Perintah penambangan kripto tertentu dilampirkan ke tugas Cloud Run selama eksekusi. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eksekusi: Image Docker Cryptomining CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES Cloud Audit Logs:
Log audit Peristiwa Sistem IAM 		Image Docker buruk tertentu yang diketahui terlampir ke layanan atau tugas Cloud Run baru atau yang sudah ada. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi secara default.
Eskalasi Hak Istimewa: SetIAMPolicy Akun Layanan Compute Engine Default CLOUD_RUN_SERVICES_SET_IAM_POLICY Cloud Audit Logs:
Log Aktivitas Admin 		Akun layanan Compute Engine default digunakan untuk menetapkan kebijakan IAM untuk layanan Cloud Run. Ini adalah potensi tindakan pasca-eksploitasi saat token Compute Engine disusupi dari layanan serverless. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default.
Untuk aturan yang tidak digunakan lagi dan dihentikan, lihat Penghentian penggunaan.

Langkah berikutnya