En esta página se ofrece una descripción general de los conceptos y las funciones de Container Threat Detection.
¿Qué es Container Threat Detection?
Container Threat Detection es un servicio integrado de Security Command Center que monitoriza continuamente el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios y los intentos de acceso remoto para detectar ataques en tiempo de ejecución casi en tiempo real.
Container Threat Detection detecta los ataques más habituales al entorno de ejecución de contenedores y te envía alertas en Security Command Center y, opcionalmente, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como binarios y bibliotecas sospechosos, y usa el procesamiento del lenguaje natural (PLN) para detectar código Bash y Python malicioso.
Container Threat Detection solo está disponible en los niveles Premium o Enterprise de Security Command Center.
Cómo funciona Container Threat Detection
La instrumentación de detección de Container Threat Detection recoge el comportamiento de bajo nivel en el kernel invitado y los scripts ejecutados. A continuación, se muestra la ruta de ejecución cuando se detectan eventos:
Container Threat Detection envía información de eventos e información que identifica el contenedor a través de un DaemonSet en modo de usuario a un servicio de detector para su análisis. La recogida de eventos se configura automáticamente cuando se habilita Container Threat Detection.
El DaemonSet de observador transmite la información del contenedor de la mejor forma posible. La información del contenedor se puede omitir de los resultados notificados si Kubernetes y el tiempo de ejecución del contenedor no proporcionan la información del contenedor correspondiente a tiempo.
El servicio de detector analiza los eventos para determinar si indican que se ha producido un incidente. Los scripts de Bash y Python se analizan con PNL para determinar si el código ejecutado es malicioso.
Si el servicio de detector identifica un incidente, este se escribe como un resultado en Security Command Center y, opcionalmente, en Cloud Logging.
- Si el servicio de detección no identifica ningún incidente, no se almacena información sobre el hallazgo.
- Todos los datos del kernel y del servicio de detector son efímeros y no se almacenan de forma permanente.
Puede ver los detalles de los resultados en la consola de Security Command Center e investigar la información de los resultados. Tu capacidad para ver y editar resultados depende de los roles que se te hayan asignado. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Cuestiones importantes
Otras herramientas de detección de seguridad instaladas en tu clúster pueden afectar al rendimiento de Container Threat Detection y provocar que no funcione correctamente. Te recomendamos que no tengas instalada ninguna otra herramienta de detección de seguridad en tu clúster si este ya está protegido por Detección de amenazas de contenedores.
Consideraciones sobre el uso de detectores de monitorización de archivos
Detección de amenazas en contenedores incluye varios detectores que monitorizan las operaciones de archivos en busca de acceso o modificación de archivos críticos del sistema. Estos detectores monitorizan las operaciones de archivos que se producen en el nodo. Las cargas de trabajo con una E/S de archivos significativa, como los sistemas de integración y entrega continuas (CI/CD), podrían sufrir una degradación del rendimiento si estos detectores están habilitados. Para evitar que se produzcan efectos inesperados, estos detectores están inhabilitados de forma predeterminada. La descripción de cada detector incluye un enlace a las instrucciones para habilitarlo. Se recomienda evaluar el impacto en cualquier carga de trabajo antes de habilitar los detectores de monitorización de archivos en producción.
Detectores de Container Threat Detection
Container Threat Detection incluye los siguientes detectores:
| Detector | Módulo | Descripción | Entradas de detección |
|---|---|---|---|
| Ejecución del binario añadido | ADDED_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que no formaba parte de la imagen de contenedor original. Si un atacante ejecuta un archivo binario añadido, es posible que haya tomado el control de la carga de trabajo y esté ejecutando comandos arbitrarios. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarla, consulta el artículo Probar Container Threat Detection. Los resultados se clasifican como de gravedad baja. |
El detector busca un archivo binario que se esté ejecutando y que no forme parte de la imagen de contenedor original o que se haya modificado a partir de la imagen de contenedor original. |
| Carga de la biblioteca añadida | ADDED_LIBRARY_LOADED |
Se ha cargado una biblioteca que no formaba parte de la imagen de contenedor original. Si se carga una biblioteca añadida, es posible que un atacante tenga el control de la carga de trabajo y esté ejecutando código arbitrario. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarla, consulta el artículo Probar Container Threat Detection. Los resultados se clasifican como de gravedad baja. |
El detector busca una biblioteca que se haya cargado y que no forme parte de la imagen de contenedor original o que se haya modificado a partir de la imagen de contenedor original. |
| Colección: modificación de Pam.d (vista previa) | PAM_D_MODIFICATION |
Se ha modificado uno de los archivos binarios o de configuración del directorio PAM se usa mucho para la autenticación en Linux. Los atacantes pueden modificar los archivos binarios o de configuración para establecer un acceso persistente. Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
Este detector monitoriza las modificaciones de los archivos de biblioteca compartida de PAM y los archivos de configuración de autorización relacionados. |
| Comando y control: se ha detectado una herramienta de esteganografía | STEGANOGRAPHY_TOOL_DETECTED |
Se ha ejecutado un programa identificado como una herramienta de esteganografía que se encuentra habitualmente en entornos de tipo Unix, lo que indica un posible intento de ocultar la comunicación o la transferencia de datos. Los atacantes pueden utilizar técnicas esteganográficas para insertar instrucciones de comandos y control (C2) maliciosas o datos exfiltrados en archivos digitales aparentemente inofensivos con el objetivo de eludir la monitorización y la detección de seguridad estándar. Identificar el uso de estas herramientas es fundamental para descubrir actividades maliciosas ocultas. Los resultados se clasifican como de gravedad crítica. |
Este detector monitoriza la ejecución de herramientas de esteganografía conocidas. La presencia de estas herramientas sugiere un esfuerzo deliberado por ofuscar el tráfico de red o exfiltrar datos, lo que podría establecer canales de comunicación encubiertos con fines maliciosos. |
| Acceso a credenciales: acceder a archivos sensibles en nodos (vista previa) | ACCESS_SENSITIVE_FILES_ON_NODES |
Se ha ejecutado un programa que ha accedido a Los atacantes pueden acceder a los archivos de autorización para copiar los hashes de las contraseñas. Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
El detector busca accesos a archivos de sistema sensibles, como
/etc/shadow y archivos authorized_keys de SSH.
|
| Acceso a credenciales: buscar Google Cloud credenciales | FIND_GCP_CREDENTIALS |
Se ha ejecutado un comando para buscar Google Cloud claves privadas, contraseñas u otras credenciales sensibles en el contenedor entorno. Un atacante podría usar credenciales robadas Google Cloud para obtener acceso ilegítimo a datos o recursos sensibles del entorno Google Cloud objetivo. Los resultados se clasifican como de gravedad baja. Este detector está inhabilitado de forma predeterminada. De forma predeterminada, las detecciones se clasifican como de gravedad Baja. Para obtener instrucciones sobre cómo habilitarla, consulta el artículo Probar Container Threat Detection. |
Esta detección monitoriza los comandos find o grep
que intentan localizar archivos que contienen Google Cloud
credenciales.
|
| Acceso a credenciales: reconocimiento de claves GPG | GPG_KEY_RECONNAISSANCE |
Se ha ejecutado un comando para buscar llaves de seguridad GPG. Un atacante podría usar claves de seguridad GPG robadas para obtener acceso no autorizado a comunicaciones o archivos cifrados. Los resultados se clasifican como de gravedad crítica. |
Este detector monitoriza los comandos find o grep
que intentan localizar llaves de seguridad GPG.
|
| Acceso a credenciales: buscar claves privadas o contraseñas | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Se ha ejecutado un comando para buscar claves privadas, contraseñas u otras credenciales sensibles en el entorno del contenedor, lo que indica un posible intento de obtener datos de autenticación. Los atacantes suelen buscar archivos de credenciales para obtener acceso no autorizado a los sistemas, aumentar los privilegios o moverse lateralmente en el entorno. Detectar este tipo de actividad es fundamental para evitar las brechas de seguridad. Los resultados se clasifican como de gravedad baja. |
Este detector monitoriza los comandos conocidos que se usan para localizar claves privadas, contraseñas o archivos de credenciales. La presencia de estas búsquedas en un entorno contenedorizado puede sugerir intentos de reconocimiento o una intrusión activa. |
| Evasión de defensas: línea de comandos de archivo ELF en Base64 | BASE64_ELF_FILE_CMDLINE |
Se ha ejecutado un proceso que contiene un argumento que es un archivo ELF (Executable and Linkable Format). Si se detecta la ejecución de un archivo ELF codificado, significa que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para eludir la detección y ejecutar código malicioso insertado en un archivo ELF. Los resultados se clasifican como de gravedad media. |
Esta detección monitoriza los argumentos de proceso que contienen ELF
y están codificados en Base64.
|
| Evasión de defensas: se ha ejecutado un script de Python codificado en Base64 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Se ha ejecutado un proceso que contiene un argumento que es una secuencia de comandos de Python codificada en base64. Si se detecta la ejecución de una secuencia de comandos de Python codificada, significa que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para eludir la detección y ejecutar código malicioso insertado en una secuencia de comandos de Python. Los resultados se clasifican como de gravedad media. |
Esta detección monitoriza los argumentos de proceso que contienen
varias formas de python -c y están codificados en Base64.
|
| Evasión de defensas: se ha ejecutado un script de shell codificado en Base64 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Se ha ejecutado un proceso que contiene un argumento que es un shell script codificado en base64. Si se detecta la ejecución de un shell script codificado, significa que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos que solo admiten ASCII. Los atacantes pueden usar esta técnica para eludir la detección y ejecutar código malicioso insertado en una secuencia de comandos shell. Los resultados se clasifican como de gravedad media. |
Esta detección monitoriza los argumentos de los procesos para encontrar aquellos que contengan varias formas de comandos de shell codificados en base64. |
| Evasión de defensas: inhabilitar o modificar el sistema de auditoría de Linux (vista previa) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Se ha modificado uno de los archivos de configuración o de registro del sistema de auditoría. Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
Este detector monitoriza las modificaciones en las configuraciones de registro, como los cambios en los archivos de configuración o comandos específicos, así como la inhabilitación de servicios de registro como journalctl o auditctl.
|
| Evasión de defensas: lanzar la herramienta de compilación de código en un contenedor | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Se ha iniciado un proceso para lanzar una herramienta de compilación de código en el entorno del contenedor, lo que indica un posible intento de compilar o modificar código ejecutable en un contexto aislado. Los atacantes pueden usar compiladores de código en contenedores para desarrollar cargas útiles maliciosas, inyectar código en archivos binarios o crear herramientas para eludir los controles de seguridad. Todo esto se lleva a cabo en un entorno menos vigilado para evitar la detección en el sistema host. Los resultados se clasifican como de gravedad baja. |
Este detector monitoriza la ejecución de herramientas de compilación de código conocidas en contenedores. La presencia de esta actividad sugiere un posible intento de desarrollar o modificar código malicioso en el contenedor, posiblemente como táctica de evasión de defensas para manipular componentes del sistema o software de cliente. |
| Evasión de defensas: certificado raíz instalado (vista previa) | ROOT_CERTIFICATE_INSTALLED |
Se ha instalado un certificado raíz en el nodo. Los atacantes pueden instalar un certificado raíz para evitar alertas de seguridad al establecer conexiones con sus servidores web maliciosos. Los atacantes podrían llevar a cabo ataques de intermediario, interceptando datos sensibles intercambiados entre la víctima y los servidores del atacante, sin activar ninguna advertencia. Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
Este detector monitoriza las modificaciones del archivo de certificado raíz. |
| Ejecución: Added Malicious Binary Executed | ADDED_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso añadido, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los resultados se clasifican como de gravedad crítica. |
El detector busca un archivo binario que se esté ejecutando y que no forme parte de la imagen de contenedor original, y lo identifica como malicioso en función de la información sobre amenazas. |
| Ejecución: Added Malicious Library Loaded | ADDED_MALICIOUS_LIBRARY_LOADED |
Se ha cargado una biblioteca que cumple las siguientes condiciones:
Si se carga una biblioteca maliciosa añadida, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los resultados se clasifican como de gravedad crítica. |
El detector busca una biblioteca que se haya cargado y que no forme parte de la imagen de contenedor original, y que se haya identificado como maliciosa en función de la información sobre amenazas. |
| Ejecución: se ha ejecutado un binario malicioso integrado | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso integrado, es una señal de que el atacante está desplegando contenedores maliciosos. Es posible que hayan obtenido el control de un repositorio de imágenes o de una canalización de compilación de contenedores legítimos e inyectado un archivo binario malicioso en la imagen del contenedor. Los resultados se clasifican como de gravedad crítica. |
El detector busca un archivo binario que se esté ejecutando y que se haya incluido en la imagen de contenedor original. Además, se identifica como malicioso en función de la información sobre amenazas. |
| Ejecución: escape de contenedores | CONTAINER_ESCAPE |
Se ha ejecutado un proceso en el contenedor que ha intentado salir del aislamiento del contenedor, lo que podría haber dado acceso al sistema host al atacante. Si se detecta un intento de escape de contenedor, puede indicar que un atacante está aprovechando vulnerabilidades para salir del contenedor. Como resultado, el atacante podría obtener acceso no autorizado al sistema host o a una infraestructura más amplia, lo que pondría en peligro todo el entorno. Los resultados se clasifican como de gravedad crítica. |
El detector monitoriza los procesos que intentan aprovechar las fronteras de los contenedores mediante técnicas o archivos binarios de escape conocidos. Estos procesos se marcan como posibles ataques que tienen como objetivo el sistema host subyacente. |
| Ejecución: ejecución sin archivos en /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Se ha ejecutado un proceso mediante un descriptor de archivo en memoria. Si se inicia un proceso desde un archivo en memoria, puede indicar que un atacante está intentando eludir otros métodos de detección para ejecutar código malicioso. Los resultados se clasifican como de gravedad alta. |
El detector monitoriza los procesos que se ejecutan desde /memfd:.
|
| Ejecución: Ingress Nightmare Vulnerability Execution (Preview) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
La ejecución de CVE-2025-1974
se puede detectar monitorizando las ejecuciones de Nginx con argumentos que
incluyan referencias al sistema de archivos
Este tipo de vulnerabilidades puede permitir que agentes maliciosos ejecuten código arbitrario en el controlador Los resultados se clasifican como de gravedad media. |
Este detector monitoriza el contenedor ingress-nginx para detectar ejecuciones de Nginx que tengan argumentos que incluyan referencias al sistema de archivos /proc, lo que indica una posible ejecución de código remoto.
|
| Ejecución: ejecución de herramientas de ataque de Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Se ha ejecutado una herramienta de ataque específica de Kubernetes en el entorno, lo que podría indicar que un atacante está atacando componentes del clúster de Kubernetes. Si se ejecuta una herramienta de ataque en el entorno de Kubernetes, podría indicar que un atacante ha obtenido acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o configuraciones específicas de Kubernetes. Los resultados se clasifican como de gravedad crítica. |
El detector busca herramientas de ataque de Kubernetes que se estén ejecutando y que se identifiquen como posibles amenazas en función de los datos de inteligencia. El detector activa alertas para mitigar posibles vulneraciones en el clúster. |
| Ejecución: ejecución de herramienta de reconocimiento local | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Se ha ejecutado una herramienta de reconocimiento local que no suele estar asociada al contenedor o al entorno, lo que sugiere que se ha intentado recopilar información interna del sistema. Si se ejecuta una herramienta de reconocimiento, significa que el atacante puede estar intentando mapear la infraestructura, identificar vulnerabilidades o recoger datos sobre las configuraciones del sistema para planificar sus próximos pasos. Los resultados se clasifican como de gravedad crítica. |
El detector monitoriza la ejecución de herramientas de reconocimiento conocidas en el entorno, identificadas mediante inteligencia sobre amenazas, lo que podría indicar que se están preparando actividades más maliciosas. |
| Ejecución: se ha ejecutado código Python malicioso | MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático ha identificado el código de Python especificado como malicioso. Los atacantes pueden usar Python para transferir herramientas u otros archivos de un sistema externo a un entorno vulnerado y ejecutar comandos sin archivos binarios. Los resultados se clasifican como de gravedad crítica. |
El detector usa técnicas de procesamiento del lenguaje natural para evaluar el contenido del código de Python ejecutado. Como este enfoque no se basa en firmas, los detectores pueden identificar Python conocido y nuevo. |
| Ejecución: se ha ejecutado un binario malicioso modificado | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Se ha ejecutado un archivo binario que cumple las siguientes condiciones:
Si se ejecuta un archivo binario malicioso modificado, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los resultados se clasifican como de gravedad crítica. |
El detector busca un archivo binario que se esté ejecutando y que se haya incluido originalmente en la imagen del contenedor, pero que se haya modificado durante el tiempo de ejecución. Además, se ha identificado como malicioso en función de la información sobre amenazas. |
| Ejecución: se ha cargado una biblioteca maliciosa modificada | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Se ha cargado una biblioteca que cumple las siguientes condiciones:
Si se carga una biblioteca maliciosa modificada, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los resultados se clasifican como de gravedad crítica. |
El detector busca una biblioteca que se haya cargado y que se haya incluido originalmente en la imagen del contenedor, pero que se haya modificado durante el tiempo de ejecución y se haya identificado como maliciosa en función de la información sobre amenazas. |
| Ejecución: ejecución remota de código de Netcat en un contenedor | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Se ha ejecutado Netcat, una utilidad de redes versátil, en el entorno del contenedor, lo que podría indicar un intento de establecer un acceso remoto no autorizado o de filtrar datos. El uso de Netcat en un entorno de contenedores puede indicar que un atacante está intentando crear un shell inverso, habilitar el movimiento lateral o ejecutar comandos arbitrarios, lo que podría poner en peligro la integridad del sistema. Los resultados se clasifican como de gravedad baja. |
El detector monitoriza la ejecución de Netcat en el contenedor, ya que su uso en entornos de producción es poco habitual y puede indicar un intento de eludir los controles de seguridad o ejecutar comandos remotos. |
| Ejecución: posible ejecución de comandos arbitrarios a través de CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Un usuario que no es root ha ejecutado
Esta regla detecta el proceso Los resultados se clasifican como de gravedad crítica. |
El detector busca cualquier proceso shell que sea un proceso secundario del proceso foomatic-rip.
|
| Ejecución: se ha detectado una posible ejecución de comandos remota | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Se ha detectado un proceso que genera comandos comunes de UNIX a través de una conexión de socket de red, lo que indica un posible intento de establecer funciones de ejecución de comandos remotos no autorizadas. Los atacantes suelen utilizar técnicas que imitan shells inversos para obtener el control interactivo de un sistema vulnerado, lo que les permite ejecutar comandos arbitrarios de forma remota y eludir las medidas de seguridad de red estándar, como las restricciones de cortafuegos. Detectar la ejecución de comandos a través de un socket es un indicador claro de acceso remoto malicioso. Los resultados se clasifican como de gravedad media. |
Este detector monitoriza la creación de sockets de red seguida de la ejecución de comandos estándar de shell de UNIX. Este patrón sugiere un intento de crear un canal encubierto para la ejecución de comandos remotos, lo que podría permitir que se lleven a cabo más actividades maliciosas en el host comprometido. |
| Ejecución: programa ejecutado con un proxy HTTP no permitido | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Se ha ejecutado un programa con una variable de entorno de proxy HTTP no permitida. Esto puede indicar un intento de eludir los controles de seguridad, redirigir el tráfico con fines maliciosos o extraer datos a través de canales no autorizados. Los atacantes pueden configurar proxies HTTP no permitidos para interceptar información sensible, enrutar el tráfico a través de servidores maliciosos o establecer canales de comunicación encubiertos. Detectar la ejecución de programas con estas variables de entorno es fundamental para mantener la seguridad de la red y evitar brechas de datos. Los resultados se clasifican como de gravedad baja. |
Este detector monitoriza la ejecución de programas con variables de entorno de proxy HTTP que están específicamente prohibidas. El uso de estos proxies, sobre todo cuando es inesperado, puede indicar actividad maliciosa y requiere una investigación inmediata. |
| Ejecución: se ha detectado un shell inverso de Socat | SOCAT_REVERSE_SHELL_DETECTED |
Se ha usado el comando Esta regla detecta la ejecución de socat para crear una shell inversa redirigiendo los descriptores de archivo stdin, stdout y stderr. Se trata de una técnica habitual que utilizan los atacantes para obtener acceso remoto a un sistema vulnerado. Los resultados se clasifican como de gravedad media. |
El detector busca cualquier proceso shell que sea el proceso secundario de un proceso socat.
|
| Ejecución: modificación sospechosa de cron (vista previa) | SUSPICIOUS_CRON_MODIFICATION |
Se ha modificado un archivo de configuración
Las modificaciones de las tareas Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
Este detector monitoriza los archivos de configuración de cron para detectar modificaciones.
|
| Ejecución: se ha cargado un objeto compartido de OpenSSL sospechoso | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
Se ha ejecutado OpenSSL para cargar un objeto compartido personalizado. Los atacantes pueden cargar bibliotecas personalizadas y sustituir las bibliotecas que usa OpenSSL para ejecutar código malicioso. Su uso en producción es poco habitual y debería investigarse inmediatamente. Los resultados se clasifican como de gravedad crítica. |
Este detector monitoriza la ejecución del comando openssl engine para cargar archivos .so personalizados.
|
| Exfiltración: iniciar herramientas de copia de archivos remota en un contenedor | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Se ha detectado la ejecución de una herramienta de copia de archivos remota en el contenedor, lo que indica una posible filtración externa de datos, un movimiento lateral o el despliegue de cargas útiles maliciosas. Los atacantes suelen usar estas herramientas para transferir datos sensibles fuera del contenedor, moverse lateralmente en la red para vulnerar otros sistemas o introducir malware para llevar a cabo más actividades maliciosas. Detectar el uso de herramientas de copia de archivos remota es fundamental para evitar brechas de seguridad de los datos, accesos no autorizados y que se ponga en peligro el contenedor y, potencialmente, el sistema host. Los resultados se clasifican como de gravedad baja. |
Este detector monitoriza la ejecución de herramientas de copia de archivos remotos conocidas en el entorno del contenedor. Su presencia, sobre todo si es inesperada, puede indicar actividad maliciosa. |
| Impacto: Detectar líneas de comandos maliciosas | DETECT_MALICIOUS_CMDLINES |
Se ha ejecutado un comando con argumentos que se sabe que son potencialmente destructivos, como intentos de eliminar archivos críticos del sistema o de modificar configuraciones relacionadas con contraseñas. Los atacantes pueden emitir líneas de comandos maliciosas para provocar inestabilidad en el sistema, impedir la recuperación eliminando archivos esenciales u obtener acceso no autorizado manipulando las credenciales de los usuarios. Detectar estos patrones de comandos específicos es fundamental para evitar que se produzcan consecuencias importantes en el sistema. Los resultados se clasifican como de gravedad crítica. |
Este detector monitoriza la ejecución de argumentos de línea de comandos que coinciden con patrones asociados a daños en el sistema o a una apropiación de privilegios. La presencia de estos comandos indica un posible intento activo de afectar negativamente a la disponibilidad o la seguridad del sistema. |
| Impacto: eliminar datos en bloque de un disco | REMOVE_BULK_DATA_FROM_DISK |
Se ha detectado un proceso que realiza operaciones de eliminación de datos en bloque, lo que puede indicar un intento de borrar pruebas, interrumpir servicios o ejecutar un ataque de borrado de datos en el entorno del contenedor. Los atacantes pueden eliminar grandes volúmenes de datos para ocultar sus huellas, sabotear operaciones o prepararse para implementar ransomware. Detectar este tipo de actividad ayuda a identificar posibles amenazas antes de que se produzca una pérdida de datos crítica. Los resultados se clasifican como de gravedad baja. |
El detector monitoriza los comandos y procesos asociados a la eliminación masiva de datos u otras herramientas de borrado de datos para identificar actividades sospechosas que puedan poner en peligro la integridad del sistema. |
| Impacto: actividad sospechosa de minería de criptomonedas mediante el protocolo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Se ha detectado un proceso que se comunica a través del protocolo Stratum, que suele utilizarse en el software de minería de criptomonedas. Esta actividad sugiere posibles operaciones de minería no autorizadas en el entorno del contenedor. Los atacantes suelen desplegar mineros de criptomonedas para aprovechar los recursos del sistema con fines económicos, lo que provoca un rendimiento deficiente, un aumento de los costes operativos y posibles riesgos de seguridad. Detectar este tipo de actividad ayuda a mitigar el abuso de recursos y el acceso no autorizado. Los resultados se clasifican como de gravedad alta. |
Este detector monitoriza el uso conocido del protocolo Stratum en el entorno. Como las cargas de trabajo de contenedores legítimas no suelen usar Stratum, su presencia puede indicar operaciones de minería no autorizadas o un contenedor vulnerado. |
| Secuencia de comandos maliciosa ejecutada | MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático ha identificado el código Bash especificado como malicioso. Los atacantes pueden usar Bash para transferir herramientas u otros archivos de un sistema externo a un entorno vulnerado y ejecutar comandos sin archivos binarios. Los resultados se clasifican como de gravedad crítica. |
El detector usa técnicas de procesamiento del lenguaje natural para evaluar el contenido del código Bash ejecutado. Como este enfoque no se basa en firmas, los detectores pueden identificar bash malicioso conocido y nuevo. |
| URL maliciosa detectada | MALICIOUS_URL_OBSERVED |
Container Threat Detection ha detectado una URL maliciosa en la lista de argumentos de un proceso en ejecución. Los resultados se clasifican como de gravedad media. |
El detector comprueba las URLs que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio Navegación segura de Google. Si una URL se clasifica incorrectamente como phishing o malware, infórmanos de ello en Reporting Incorrect Data (Informar de datos incorrectos). |
| Persistencia: modificar ld.so.preload (vista previa) | MODIFY_LD_SO_PRELOAD |
Se ha intentado modificar el archivo
Los atacantes pueden usar los cambios en Se trata de un detector de monitorización de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta el artículo Probar Container Threat Detection. |
Este detector monitoriza los intentos de modificar el archivo ld.so.preload. |
| Apropiación de privilegios: abuso de sudo para apropiación de privilegios (CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
Esta detección notifica un intento de explotación de CVE-2019-14287, que permite la apropiación de privilegios mediante el abuso del comando sudo.
Las versiones de Los resultados se clasifican como de gravedad crítica. |
El detector busca cualquier ejecución de sudo que tenga los argumentos -u#-1 o -u#4294967295.
|
| Apropiación de privilegios: ejecución sin archivos en /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Se ha ejecutado un proceso desde una ruta de
Si se ejecuta un archivo desde Los resultados se clasifican como de gravedad alta. |
El detector busca cualquier proceso que se haya ejecutado desde
/dev/shm
|
| Apropiación de privilegios: vulnerabilidad de apropiación de privilegios local de Polkit (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Un usuario que no es root ha ejecutado
Esta regla detecta un intento de aprovechar una vulnerabilidad de escalada de privilegios (CVE-2021-4034) en Los resultados se clasifican como de gravedad crítica. |
El detector busca cualquier ejecución de pkexec que tenga definida la variable de entorno GCONV_PATH.
|
| Apropiación de privilegios: posible apropiación de privilegios de sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Un usuario que no es root ha ejecutado
Detecta un intento de explotar una vulnerabilidad que afecta a la versión Los resultados se clasifican como de gravedad crítica. |
El detector busca cualquier ejecución de sudo o sudoedit que intente usar argumentos identificados como parte de la vulnerabilidad CVE-2021-4034.
|
| Shell inverso | REVERSE_SHELL |
Se ha iniciado un proceso con redirección de flujo a un socket conectado remoto. Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo vulnerada a una máquina controlada por el atacante. De esta forma, el atacante puede controlar la carga de trabajo, por ejemplo, como parte de una botnet. Los resultados se clasifican como de gravedad crítica. |
El detector busca stdin en un enchufe remoto.
|
| Shell secundario inesperado | UNEXPECTED_CHILD_SHELL |
Un proceso que normalmente no invoca shells ha generado un proceso de shell. Los resultados se clasifican como de gravedad crítica. |
El detector monitoriza todas las ejecuciones de procesos. Cuando se invoca un shell, el detector genera un resultado si se sabe que el proceso principal no suele invocar shells. |
Siguientes pasos
- Consulta información sobre cómo usar Container Threat Detection.
- Consulta información sobre cómo probar Container Threat Detection.
- Consulta cómo investigar y desarrollar planes de respuesta ante amenazas.
- Consulta información sobre Artifact Analysis y el análisis de vulnerabilidades.