URL malicioso observado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

O Container Threat Detection observou um URL malicioso na lista de argumentos de um processo executável. Os invasores podem carregar malware ou bibliotecas maliciosas por URLs maliciosos.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Malicious URL Observed conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • URI: o URI malicioso observado.
     • Binário adicionado: o caminho completo do binário do processo que recebeu os argumentos que contêm o URL malicioso.
     • Argumentos: os argumentos fornecidos ao invocar o binário do processo.
     • Variáveis de ambiente: as variáveis de ambiente que estavam em vigor quando o binário do processo foi invocado.
     • Contêineres: o nome do contêiner.
     • Pods do Kubernetes: o nome e o namespace do pod.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome de exibição do recurso: o nome do recurso afetado.
     • Nome completo do recurso: o nome completo do recurso do cluster. O nome completo do recurso inclui as seguintes informações:
       • O projeto que contém o cluster: projects/PROJECT_ID
       • O local em que o cluster está: zone/ZONE ou locations/LOCATION
       • projects/CLUSTER_NAME: o nome do cluster.
   • Links relacionados, principalmente os seguintes campos:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.

3. Na guia JSON, no atributo sourceProperties, observe o valor da propriedade VM_Instance_Name.

Etapa 2: verificar o cluster e o nó

1. No console Google Cloud , acesse a página Clusters do Kubernetes.

   Acesse Clusters do Kubernetes

2. Na barra de ferramentas do console Google Cloud , selecione o projeto que aparece em Nome completo do recurso (resource.name), se necessário. O nome do projeto aparece depois de /projects/ no nome completo do recurso.

3. Clique no nome do cluster que você anotou em Nome de exibição do recurso (resource.display_name) do resumo da descoberta. A página Clusters será aberta.

4. Na página Seção de metadados, na página de detalhes do **Cluster, veja todas as informações definidas pelo usuário que podem ser úteis para resolver a ameaça, como informações que identificam o proprietário do cluster.

5. Clique na guia Nós.

6. Nos nós listados, selecione o nó que corresponde ao valor de VM_Instance_Name que você anotou no JSON de descoberta anteriormente.

7. Na guia Detalhes da páginaDetalhes do nó na seção Anotações, anote o valor da anotação container.googleapis.com/instance_id.

Etapa 3: verificar o pod

1. No console Google Cloud , acesse a página Cargas de trabalho do Kubernetes.

   Acesse Cargas de trabalho do Kubernetes

2. Na barra de ferramentas do console Google Cloud , selecione o projeto que você anotou no Nome completo do recurso (resource.name) do cluster no resumo de descobertas, se necessário.

3. Clique em Mostrar cargas de trabalho do sistema.

4. Filtre a lista de cargas de trabalho pelo nome do cluster que você anotou em Nome completo do recurso (resource.name ) do resumo da descoberta e, se necessário, o conjunto Namespace (kubernetes.pods.ns ) que você anotou.

5. Clique no nome da carga de trabalho correspondente ao valor da propriedade VM_Instance_Name anotado anteriormente no JSON de descoberta. A página Detalhes do pod é aberta.

6. Na página Detalhes do pod, veja todas as informações sobre o pod que possam ajudar a resolver a ameaça.

Etapa 4: verificar os registros

1. No console Google Cloud , acesse Análise de registros.

   Acessar o Explorador de registros

2. Na barra de ferramentas do console Google Cloud , selecione o projeto que aparece em Nome completo do recurso (resource.name), se necessário.

3. Defina Selecionar período como o período de interesse.

4. Na página carregada, faça o seguinte:

   1. Encontre registros de pod para seu pod (kubernetes.pods.name) usando o seguinte filtro:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
   2. Encontre os registros de auditoria do cluster usando este filtro:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
   3. Encontre os registros do console do nó do GKE usando este filtro:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

Etapa 5: investigar o contêiner em execução

Se o contêiner ainda estiver em execução, talvez seja possível investigar o ambiente do contêiner diretamente.

1. No console Google Cloud , acesse a página Clusters do Kubernetes.

   Acesse Clusters do Kubernetes

2. Clique no nome do cluster mostrado em resource.labels.cluster_name.

3. Na página Clusters, clique em Conectar e em Executar no Cloud Shell.

   O Cloud Shell inicia e adiciona comandos para o cluster no terminal.

4. Pressione Enter e, se a caixa de diálogo Autorizar o Cloud Shell for exibida, clique em Autorizar.

5. Conecte-se ao ambiente do contêiner executando o seguinte comando:

     kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh
   

   Substitua CONTAINER_NAME pelo nome do contêiner que você anotou no resumo da descoberta anteriormente.

   Esse comando exige que o contêiner tenha um shell instalado em /bin/sh.

Etapa 6: pesquisar métodos de ataque e resposta

1. Verifique o Status do site na Navegação segura para ver detalhes sobre o motivo da classificação do URL como malicioso.
2. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Transferência de ferramenta de entrada.
3. Verifique o valor de hash SHA-256 do binário sinalizado como malicioso no VirusTotal clicando no link em Indicador do VirusTotal. O VirusTotal é um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
4. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Etapa 7: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto com o contêiner comprometido pertence.
• Interrompa ou exclua o contêiner comprometido e substitua-o por um novo contêiner.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.