Ejecución: escape de contenedores

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Se ha ejecutado un archivo binario de una herramienta sospechosa conocida para realizar actividades de escape de contenedores. Esto indica un posible intento de escape de contenedor, en el que un proceso dentro del contenedor intenta salir de su aislamiento e interactuar con el sistema host u otros contenedores. Se trata de un hallazgo de gravedad alta, ya que sugiere que un atacante podría estar intentando obtener acceso más allá de los límites del contenedor, lo que podría poner en riesgo el host u otra infraestructura. Los escapes de contenedores pueden deberse a configuraciones incorrectas, vulnerabilidades en los tiempos de ejecución de los contenedores o a la explotación de contenedores con privilegios.

Servicio de detección

Cloud Run Threat Detection

Cómo responder

Para responder a esta observación, sigue estos pasos:

Consultar los detalles de los resultados

1. Abre el Execution: Container Escape tal como se indica en el artículo Revisar los resultados. Consulta los detalles en las pestañas Resumen y JSON.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Binario de programa: la ruta absoluta del binario ejecutado.
     • Argumentos: los argumentos transferidos durante la ejecución del archivo binario.
   • Recurso afectado, especialmente los siguientes campos:
     • Nombre completo del recurso: el nombre completo del recurso de Cloud Run afectado

3. En la pestaña JSON, anota los siguientes campos:

   • resource:
     • project_display_name: el nombre del proyecto que contiene el clúster.
   • finding:
     • processes:
     • binary:
       • path: la ruta completa del archivo binario ejecutado.
     • args: los argumentos que se han proporcionado al ejecutar el archivo binario.

4. Identifica otros resultados que se hayan producido en un momento similar en el contenedor afectado. Las conclusiones relacionadas pueden indicar que esta actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.

5. Revisa la configuración del contenedor afectado.

6. Consulta los registros del contenedor afectado.

Investigar métodos de ataque y respuesta

1. Consulta la entrada del framework ATT&CK de MITRE para este tipo de hallazgo: Escape to Host (Escape al host).
2. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Implementar tu respuesta

Para obtener recomendaciones sobre cómo responder, consulta Responder a las detecciones de amenazas de Cloud Run.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.