Rechteausweitung: Start eines privilegierten Kubernetes-Containers

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Ein potenziell böswilliger Akteur hat einen Pod erstellt, der privilegierte Container oder Container mit der Fähigkeit zur Rechteausweitung enthält.

Bei einem privilegierten Container ist das Feld privileged auf true gesetzt. Bei einem Container mit Funktionen zur Rechteausweitung ist das Feld allowPrivilegeEscalation auf true gesetzt. Weitere Informationen finden Sie in der Kubernetes-Dokumentation unter der API-Referenz zu SecurityContext v1 Core.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie das Privilege Escalation: Launch of privileged Kubernetes container-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:
     • Hauptkonto-E-Mail-Adresse: Das Konto, mit dem der Anruf getätigt wurde.
     • Kubernetes-Pods: Der neu erstellte Pod mit privilegierten Containern.
   • Betroffene Ressource, insbesondere die folgenden Felder:
     • Anzeigename der Ressource: Der Kubernetes-Cluster, in dem die Aktion ausgeführt wurde.
   • Weitere Informationen, insbesondere die folgenden Felder:
     • Cloud Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

3. Notieren Sie sich auf dem Tab JSON die Werte der Ergebnis-Felder:

   • findings.kubernetes.pods[].containers: Der privilegierte Container, der im Pod gefunden wurde.

Schritt 2: Protokolle prüfen

1. Rufen Sie auf dem Tab Zusammenfassung der Funddetails in der Google Cloud -Konsole den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.

2. Prüfen Sie mit den folgenden Filtern, ob das Hauptkonto andere Aktionen ausgeführt hat:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Ersetzen Sie Folgendes:

   • CLUSTER_NAME: Der Wert, den Sie in den Funddetails im Feld Anzeigename der Ressource notiert haben.

   • PRINCIPAL_EMAIL: Der Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

1. Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Rechteausweitung.
2. Prüfen Sie, ob der erstellte Container wirklich Zugriff auf Hostressourcen und Kernel-Funktionen braucht.
3. Prüfen Sie, ob es weitere Anzeichen für schädliche Aktivitäten des Hauptkontos in den Logs gibt.

4. Wenn die E‑Mail-Adresse des Hauptkontos kein Dienstkonto ist, wenden Sie sich an den Inhaber des Kontos, um herauszufinden, ob der rechtmäßige Kontoinhaber die Aktion ausgeführt hat.

   Wenn die E‑Mail-Adresse des Hauptkontos ein IAM- oder Kubernetes-Dienstkonto ist, identifizieren Sie die Quelle der Aktion, um deren Rechtmäßigkeit festzustellen.

5. Wenn Sie einen Reaktionsplan entwickeln möchten, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren