Script malicioso executado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um modelo de machine learning identificou um código Bash executado como malicioso. Os invasores podem usar o Bash para transferir ferramentas e executar comandos sem binários. Garantir que os contêineres sejam imutáveis é uma prática recomendada importante. O uso de scripts para transferir ferramentas pode imitar a técnica de transferência de ferramentas de entrada do invasor e resultar em detecções indesejadas.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Malicious Script Executed conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: detalhes sobre o interpretador que invocou o script.
     • Script: caminho absoluto do nome do script no disco. Esse atributo só aparece para scripts gravados em disco, não para execução de scripts literais, por exemplo, bash -c
     • Argumentos: os argumentos fornecidos ao invocar o script.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do cluster, incluindo o número, o local e o nome do projeto.
   • Links relacionados, principalmente os seguintes campos:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Na visualização detalhada da descoberta, clique na guia JSON.

4. No JSON, observe os seguintes campos.

   • finding:
     • processes:
     • script:
       • contents: o conteúdo do script executado, que pode ser truncado por motivos de desempenho. Isso pode ajudar na sua investigação
       • sha256: o hash SHA-256 de script.contents
   • resource:
     • project_display_name: o nome do projeto que contém o recurso.
   • sourceProperties:
     • Pod_Namespace: o nome do namespace do Kubernetes do pod.
     • Pod_Name: o nome do pod do GKE.
     • Container_Name: o nome do contêiner afetado.
     • Container_Image_Uri: o nome da imagem do contêiner que está sendo executada.
     • VM_Instance_Name: o nome do nó do GKE em que o pod foi executado.

5. Identifique outras descobertas que ocorreram em um momento semelhante para esse contêiner. Por exemplo, se o script soltar um binário, verifique se há descobertas relacionadas a ele.

Etapa 2: verificar o cluster e o nó

1. No console Google Cloud , acesse a página Clusters do Kubernetes.

   Acesse Clusters do Kubernetes

2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

3. Selecione o cluster listado na linha Nome completo do recurso na guia Resumo dos detalhes da descoberta. Anote os metadados sobre o cluster e o proprietário dele.

4. Clique na guia Nós. Selecione o nó listado em VM_Instance_Name.

5. Clique na guia Detalhes e anote a anotação container.googleapis.com/instance_id.

Etapa 3: verificar o pod

1. No console Google Cloud , acesse a página Cargas de trabalho do Kubernetes.

   Acesse Cargas de trabalho do Kubernetes

2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

3. Filtre no cluster listado em resource.name e no namespace de pod listado em Pod_Namespace, se necessário.

4. Selecione o pod listado em Pod_Name. Anote os metadados sobre o pod e o proprietário dele.

Etapa 4: verificar os registros

1. No console Google Cloud , acesse Análise de registros.

   Acessar o Explorador de registros

2. Na barra de ferramentas do console do Google Cloud , selecione o projeto listado em resource.project_display_name, se necessário.

3. Defina Selecionar período como o período de interesse.

4. Na página carregada, faça o seguinte:

   1. Encontre registros de pods para Pod_Name usando este filtro:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Encontre os registros de auditoria do cluster usando este filtro:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Encontre os registros do console do nó do GKE usando este filtro:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Etapa 5: investigar o contêiner em execução

Se o contêiner ainda estiver em execução, talvez seja possível investigar o ambiente do contêiner diretamente.

1. No console Google Cloud , acesse a página Clusters do Kubernetes.

   Acesse Clusters do Kubernetes

2. Clique no nome do cluster mostrado em resource.labels.cluster_name.

3. Na página Clusters, clique em Conectar e em Executar no Cloud Shell.

   O Cloud Shell inicia e adiciona comandos para o cluster no terminal.

4. Pressione Enter e, se a caixa de diálogo Autorizar o Cloud Shell for exibida, clique em Autorizar.

5. Conecte-se ao ambiente do contêiner executando o seguinte comando:

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Esse comando exige que o contêiner tenha um shell instalado em /bin/sh.

Etapa 6: pesquisar métodos de ataque e resposta

1. Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Intérprete de comandos e scripts e Transferência de ferramentas de entrada.
2. Verifique o valor de hash SHA-256 do binário sinalizado como malicioso no VirusTotal clicando no link em Indicador do VirusTotal. O VirusTotal é um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Etapa 7: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Se o script estiver fazendo mudanças pretendidas no contêiner, recrie a imagem do contêiner para que nenhuma mudança seja necessária. Assim, o contêiner pode ser imutável.
• Caso contrário, entre em contato com a pessoa a quem o projeto com o contêiner comprometido pertence.
• Interrompa ou exclua o contêiner comprometido e substitua-o por um novo contêiner.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.