Ejecución: Added Malicious Library Loaded

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se ha cargado una biblioteca maliciosa que no formaba parte de la imagen de contenedor original. Los atacantes pueden cargar bibliotecas maliciosas en programas para eludir las protecciones de ejecución de código y ocultar código malicioso.

Servicio de detección

Cloud Run Threat Detection

Cómo responder

Para responder a esta observación, sigue estos pasos:

Consultar los detalles de los resultados

1. Abre el Execution: Added Malicious Library Loaded tal como se indica en el artículo Revisar los resultados. Consulta los detalles en las pestañas Resumen y JSON.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Binario de programa: la ruta completa del binario del proceso que ha cargado la biblioteca
     • Bibliotecas: detalles sobre la biblioteca añadida
     • Argumentos: los argumentos proporcionados al invocar el proceso binario
     • Contenedores: nombre del contenedor afectado
     • URI de los contenedores: el nombre de la imagen del contenedor que se va a desplegar.
   • Recurso afectado, especialmente los siguientes campos:
     • Nombre completo del recurso: el nombre completo del recurso del recurso de Cloud Run afectado.
   • Enlaces relacionados, especialmente los siguientes campos:
     • Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.

3. Identifica otros resultados que se hayan producido en un momento similar en el contenedor afectado. Las conclusiones relacionadas pueden indicar que esta actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.

4. Revisa la configuración del contenedor afectado.

5. Consulta los registros del contenedor afectado.

Investigar métodos de ataque y respuesta

1. Revisa las entradas del framework ATT&CK de MITRE de este tipo de hallazgo: Transferencia de herramientas de entrada y Módulos compartidos.
2. Comprueba el valor del hash SHA-256 del archivo binario marcado como malicioso en VirusTotal haciendo clic en el enlace del indicador de VirusTotal. VirusTotal es un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
3. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE y el análisis de VirusTotal.

Implementar tu respuesta

Para obtener recomendaciones sobre cómo responder, consulta Responder a las detecciones de amenazas de Cloud Run.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.