Erstzugriff: Gehackter Dienstkontoschlüssel verwendet

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Ein gehackter Dienstkontoschlüssel wurde zur Authentifizierung einer Aktion verwendet. In diesem Zusammenhang ist ein gehackter Dienstkontoschlüssel ein Schlüssel, der im öffentlichen Internet veröffentlicht wurde. Dienstkontoschlüssel werden beispielsweise häufig fälschlicherweise in öffentlichen GitHub-Repositories veröffentlicht.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Initial Access: Leaked Service Account Key Used-Ergebnis, wie unter Ergebnisse prüfen beschrieben.

  2. Notieren Sie sich in den Ergebnisdetails auf dem Tab Zusammenfassung die Werte der folgenden Felder.

    Unter Was wurde erkannt?:

    • Hauptkonto-E-Mail-Adresse: Das in dieser Aktion verwendete Dienstkonto
    • Dienstname: Der API-Name des Google Cloud-Dienstes, auf den über das Dienstkonto zugegriffen wurde.
    • Method name (Methodenname): Der Methodenname der Aktion.
    • Name des Dienstkontoschlüssels: Der gehackte Dienstkontoschlüssel, der zur Authentifizierung dieser Aktion verwendet wurde
    • Beschreibung: Die Beschreibung des erkannten Problems, einschließlich des Speicherorts im öffentlichen Internet, an dem der Dienstkontoschlüssel gefunden werden kann.

    Unter Betroffene Ressource:

    • Anzeigename der Ressource: Die Ressource, die an der Aktion beteiligt ist

Schritt 2: Protokolle prüfen

  1. Rufen Sie in der Google Cloud Console den Log-Explorer auf. Klicken Sie dazu auf den Link unter Cloud Logging-URI.
  2. Wählen Sie in der Symbolleiste der Google Cloud Console Ihr Projekt oder Ihre Organisation aus.

  3. Suchen Sie auf der Seite, die geladen wird, mit dem folgenden Filter nach zugehörigen Logs:

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"
    • protoPayload.authenticationInfo.serviceAccountKeyName="SERVICE_ACCOUNT_KEY_NAME"

    Ersetzen Sie PRINCIPAL_EMAIL durch den Wert, den Sie in den Details des Ergebnisses im Feld E-Mail-Adresse des Hauptkontos notiert haben. Ersetzen Sie SERVICE_ACCOUNT_KEY_NAME durch den Wert, den Sie in den Funddetails im Feld Name des Dienstkontoschlüssels notiert haben.

Schritt 3: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

  • Widerrufen Sie den Dienstkontoschlüssel sofort auf der Seite „Dienstkonten“.
  • Entfernen Sie die Webseite oder das GitHub-Repository, auf der bzw. in dem der Dienstkontoschlüssel veröffentlicht wurde.
  • Erwägen Sie, das manipulierte Dienstkonto zu löschen.
  • Rotieren und löschen Sie alle Zugriffsschlüssel des Dienstkontos für das potenziell manipulierte Projekt. Nach dem Löschen verlieren Anwendungen, die das Dienstkonto für die Authentifizierung verwenden, den Zugriff. Bevor Sie sie löschen, sollte Ihr Sicherheitsteam alle betroffenen Anwendungen identifizieren und mit den Anwendungsbesitzern zusammenarbeiten, um die Geschäftskontinuität zu gewährleisten.
  • Ermitteln Sie gemeinsam mit Ihrem Sicherheitsteam unbekannte Ressourcen, einschließlich Compute Engine-Instanzen, Snapshots, Dienstkonten und IAM-Nutzer. Ressourcen löschen, die nicht mit autorisierten Konten erstellt wurden.
  • Auf Benachrichtigungen von Cloud Customer Care reagieren

Nächste Schritte