本頁面提供 Container Threat Detection 概念和功能的高階總覽。
什麼是 Container Threat Detection?
Container Threat Detection 是 Security Command Center 的內建服務,可持續監控 Container-Optimized OS 節點映像檔的狀態。這項服務會評估所有變更和遠端存取嘗試,近乎即時地偵測執行階段攻擊。
Container Threat Detection 會偵測最常見的容器執行階段攻擊,並在 Security Command Center 中發出快訊,您也可以選擇在 Cloud Logging 中接收快訊。Container Threat Detection 包含多項偵測功能,包括可疑的二進位檔和程式庫,並使用自然語言處理 (NLP) 技術偵測惡意 Bash 和 Python 程式碼。
Container Threat Detection 僅適用於 Security Command Center 進階方案或 Enterprise 方案。
Container Threat Detection 的運作方式
Container Threat Detection 偵測檢測作業會收集訪客核心和執行的指令碼中的低層級行為。偵測到事件時的執行路徑如下:
Container Threat Detection 會透過使用者模式 DaemonSet,將事件資訊和可識別容器的資訊傳遞至偵測器服務進行分析。啟用 Container Threat Detection 時,系統會自動設定事件收集功能。
監控程式 DaemonSet 會盡力傳遞容器資訊。如果 Kubernetes 和容器執行階段無法及時提供相應的容器資訊,系統可能會從回報的發現項目中捨棄容器資訊。
偵測器服務會分析事件,判斷事件是否代表事件。系統會使用 NLP 分析 Bash 和 Python 指令碼,判斷執行的程式碼是否為惡意程式碼。
如果偵測器服務發現事件,系統會將事件寫入 Security Command Center 做為發現項目,並視需要寫入 Cloud Logging。
- 如果偵測器服務未識別出事件,系統就不會儲存尋找資訊。
- 核心和偵測器服務中的所有資料都是暫時性,不會永久儲存。
您可以在 Security Command Center 控制台中查看發現項目詳細資料,並調查發現項目資訊。您能否查看及編輯調查結果,取決於您獲得的角色。如要進一步瞭解 Security Command Center 角色,請參閱存取權控管。
注意事項
叢集中安裝的其他安全性偵測工具可能會影響 Container Threat Detection 的效能,導致功能異常。如果叢集已受到容器威脅偵測功能保護,建議您不要在叢集中安裝任何其他安全偵測工具。
Container Threat Detection 偵測器
Container Threat Detection 包含下列偵測器:
| 偵測工具 | 單元 | 說明 | 偵測輸入內容 |
|---|---|---|---|
| 已執行新增的二進位檔 | ADDED_BINARY_EXECUTED |
執行了不屬於原始容器映像檔的二進位檔。 如果攻擊者執行了新增的二進位檔案,可能代表攻擊者已控制工作負載,並執行任意指令。 這項偵測工具預設為停用。如要瞭解如何啟用這項功能,請參閱「測試 Container Threat Detection」。 發現項目會歸類為低嚴重性。 |
偵測器會尋找執行的二進位檔,該二進位檔不是原始容器映像檔的一部分,或是從原始容器映像檔修改而來。 |
| 已載入新增的資料庫 | ADDED_LIBRARY_LOADED |
載入的程式庫並非原始容器映像檔的一部分。 如果載入新增的程式庫,可能表示攻擊者已控制工作負載,並正在執行任意程式碼。 這項偵測工具預設為停用。如要瞭解如何啟用這項功能,請參閱「測試 Container Threat Detection」。 發現項目會歸類為低嚴重性。 |
偵測器會尋找載入的程式庫,這些程式庫不是原始容器映像檔的一部分,或是經過原始容器映像檔修改。 |
| 命令與控制:偵測到隱寫術工具 | STEGANOGRAPHY_TOOL_DETECTED |
系統執行了某個程式,該程式是 Unix 類似環境中常見的隱寫術工具,可能意圖隱藏通訊或資料傳輸。 攻擊者可能會利用隱寫術,在看似良性的數位檔案中嵌入惡意指令和控制項 (C2) 指令或外洩資料,以規避標準安全監控和偵測。找出這類工具的使用情形,對於揭露隱藏的惡意活動至關重要。 發現項目會歸類為重大嚴重性。 |
這個偵測器會監控已知隱寫術工具的執行情況。 這類工具的存在表示攻擊者刻意混淆網路流量或外洩資料,可能建立隱蔽的通訊管道,以達到惡意目的。 |
| 憑證存取:尋找 Google Cloud 憑證 | FIND_GCP_CREDENTIALS |
執行指令,在容器環境中搜尋私密金鑰、密碼或其他機密憑證。 Google Cloud 攻擊者可能會利用竊取的 Google Cloud 憑證,在目標 Google Cloud 環境中非法存取機密資料或資源。 發現項目會歸類為低嚴重性。 這項偵測工具預設為停用。發現結果預設會分類為「低」嚴重程度。如要瞭解如何啟用這項功能,請參閱「測試 Container Threat Detection」。 |
這項偵測功能會監控嘗試尋找含有憑證的檔案的 find 或 grep 指令。 Google Cloud |
| 憑證存取:GPG 金鑰偵查 | GPG_KEY_RECONNAISSANCE |
執行指令來搜尋 GPG 安全金鑰。 攻擊者可能會使用竊取的 GPG 安全金鑰,未經授權存取加密的通訊內容或檔案。 發現項目會歸類為「重大」嚴重性。 |
這個偵測器會監控嘗試找出 GPG 安全金鑰的 find 或 grep 指令。 |
| 憑證存取:搜尋私密金鑰或密碼 | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
系統執行指令,在容器環境中搜尋私密金鑰、密碼或其他機密憑證,這表示可能有人試圖收集驗證資料。 攻擊者通常會搜尋憑證檔案,以未經授權的方式存取系統、提升權限,或在環境中橫向移動。偵測這類活動對於防範安全漏洞至關重要。 發現項目會歸類為低嚴重性。 |
這個偵測器會監控用於找出私密金鑰、密碼或憑證檔案的已知指令。如果容器化環境中出現這類搜尋,可能表示有人正在偵察或入侵。 |
| 規避防禦機制:Base64 ELF 檔案指令列 | BASE64_ELF_FILE_CMDLINE |
執行的程序包含 ELF (可執行檔和可連結格式) 檔案的引數。 如果系統偵測到編碼的 ELF 檔案執行作業,表示攻擊者可能正在嘗試編碼二進位資料,以便傳輸至僅限 ASCII 的指令列。攻擊者可利用這項技術規避偵測,並執行 ELF 檔案中嵌入的惡意程式碼。 發現項目會歸類為中等嚴重程度。 |
這項偵測功能會監控包含 ELF 且採用 Base64 編碼的程序引數。 |
| 規避防禦機制:已執行 Base64 編碼的 Python 指令碼 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
執行的程序包含以 Base64 編碼的 Python 指令碼做為引數。 如果系統偵測到編碼的 Python 指令碼執行作業,表示攻擊者正嘗試編碼二進位資料,以便傳輸至僅限 ASCII 的指令列。攻擊者可利用這項技術規避偵測,並執行 Python 指令碼中嵌入的惡意程式碼。 發現項目會歸類為中等嚴重程度。 |
這項偵測會監控包含各種形式的 python -c,且經過 Base64 編碼的程序引數。 |
| 規避防禦機制:執行 Base64 編碼的殼層指令碼 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
系統執行了含有 Base64 編碼殼層指令碼引數的程序。 如果系統偵測到編碼的 Shell 指令碼執行作業,表示攻擊者正嘗試編碼二進位資料,以便傳輸至僅限 ASCII 的指令列。攻擊者可利用這項技術規避偵測,並執行內嵌在 Shell 指令碼中的惡意程式碼。 發現項目會歸類為中等嚴重程度。 |
這項偵測功能會監控程序引數,找出含有各種形式的 Base64 編碼 Shell 指令。 |
| 規避防禦機制:在容器中啟動程式碼編譯器工具 | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
系統已啟動程序,在容器環境中啟動程式碼編譯器工具,這表示可能有人嘗試在隔離環境中建構或修改可執行程式碼。 攻擊者可能會在容器中使用程式碼編譯器開發惡意有效負載、將程式碼注入現有二進位檔,或建立工具來規避安全控管機制,同時在較少受到審查的環境中運作,以規避主機系統的偵測。 發現項目會歸類為低嚴重性。 |
這個偵測器會監控容器內是否執行已知的程式碼編譯器工具。這類活動的存在表示,可能有人試圖在容器中開發或修改惡意程式碼,或許是為了規避防禦措施,藉此竄改系統元件或用戶端軟體。 |
| 執行:已執行新增的惡意二進位檔 | ADDED_MALICIOUS_BINARY_EXECUTED |
執行符合下列條件的二進位檔:
如果執行了新增的惡意二進位檔案,表示攻擊者很可能已掌控工作負載,並正在執行惡意軟體。 發現項目會歸類為「重大」嚴重性。 |
偵測器會尋找執行的二進位檔,該二進位檔並非原始容器映像檔的一部分,且根據威脅情報判斷為惡意。 |
| 執行:已載入新增的惡意資料庫 | ADDED_MALICIOUS_LIBRARY_LOADED |
已載入符合下列條件的程式庫:
如果載入新增的惡意程式庫,表示攻擊者可能已掌控工作負載,並正在執行惡意軟體。 發現項目會歸類為重大嚴重性。 |
偵測器會尋找載入的程式庫,該程式庫並非原始容器映像檔的一部分,且根據威脅情報判斷為惡意程式。 |
| 執行:已執行內建的惡意二進位檔 | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
執行符合下列條件的二進位檔:
如果執行了內建的惡意二進位檔,表示攻擊者正在部署惡意容器。他們可能已取得合法映像檔存放區或容器建構管道的控制權,並將惡意二進位檔注入容器映像檔。 發現項目會歸類為「重大」嚴重性。 |
偵測器會尋找原始容器映像檔中執行的二進位檔,並根據威脅情報判斷是否為惡意。 |
| 執行:容器跳脫 | CONTAINER_ESCAPE |
容器內執行的程序嘗試突破容器的隔離狀態,可能導致攻擊者存取主機系統。 如果系統偵測到容器跳脫嘗試,可能表示攻擊者正在利用安全漏洞,試圖跳脫容器。因此,攻擊者可能會未經授權存取主機系統或更廣泛的基礎架構,進而入侵整個環境。 發現項目會歸類為「重大」嚴重性。 |
偵測器會監控嘗試利用已知逸出技術或二進位檔,入侵容器邊界的程序。威脅情報會將這些程序標示為可能攻擊基礎主機系統的行為。 |
| 執行:/memfd 中的無檔案執行作業: | FILELESS_EXECUTION_DETECTION_MEMFD |
使用記憶體內檔案描述元執行程序。 如果程序是從記憶體內檔案啟動,可能表示攻擊者試圖規避其他偵測方法,以執行惡意程式碼。 發現項目會分類為「高」嚴重性。 |
偵測器會監控從 /memfd: 執行的程序。 |
| 執行作業:Ingress Nightmare 安全漏洞執行 (預先發布版) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
如要偵測 CVE-2025-1974 的執行作業,請監控 Nginx 執行作業,查看是否有包含參照
這類安全漏洞可能會讓惡意行為人在 發現項目會歸類為中等嚴重程度。 |
這個偵測器會監控 ingress-nginx 容器,找出含有參照 /proc 檔案系統引數的 Nginx 執行作業,這表示可能發生遠端程式碼執行作業。 |
| 執行:Kubernetes 攻擊工具執行作業 | KUBERNETES_ATTACK_TOOL_EXECUTION |
環境中執行了 Kubernetes 專屬的攻擊工具,這可能表示攻擊者以 Kubernetes 叢集元件為目標。 如果在 Kubernetes 環境中執行攻擊工具,可能表示攻擊者已取得叢集存取權,並使用該工具來利用 Kubernetes 特有的安全漏洞或設定。 發現項目會歸類為重大嚴重性。 |
偵測器會尋找正在執行的 Kubernetes 攻擊工具,並根據情報資料將其識別為潛在威脅。偵測工具會觸發快訊,以減輕叢集中的潛在入侵事件。 |
| 執行:本機偵查工具執行作業 | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
執行通常與容器或環境無關的本機偵查工具,表示有人嘗試收集內部系統資訊。 如果執行偵查工具,表示攻擊者可能正在嘗試繪製基礎架構地圖、找出安全漏洞,或收集系統設定資料,以規劃下一步行動。 發現項目會歸類為重大嚴重性。 |
偵測器會監控環境中執行的已知偵察工具,這些工具是透過威脅情報識別,可能表示正在準備進行更多惡意活動。 |
| 執行:已執行惡意 Python | MALICIOUS_PYTHON_EXECUTED |
機器學習模型將指定的 Python 程式碼判定為惡意程式碼。攻擊者可使用 Python 將工具或其他檔案從外部系統轉移到遭入侵的環境,並執行不含二進位檔的指令。 發現項目會歸類為「重大」嚴重性。 |
偵測器會使用 NLP 技術評估執行的 Python 程式碼內容。由於這種方法並非以簽章為依據,因此偵測器可以識別已知和新穎的 Python。 |
| 執行:已執行修改過的惡意二進位檔 | MODIFIED_MALICIOUS_BINARY_EXECUTED |
執行符合下列條件的二進位檔:
如果執行遭修改的惡意二進位檔,表示攻擊者已掌控工作負載,並正在執行惡意軟體。 發現項目會歸類為「重大」嚴重性。 |
偵測器會尋找正在執行的二進位檔,該二進位檔原本包含在容器映像檔中,但在執行階段經過修改,並根據威脅情報判斷為惡意。 |
| 執行:已載入修改過的惡意資料庫 | MODIFIED_MALICIOUS_LIBRARY_LOADED |
已載入符合下列條件的程式庫:
如果載入的是經過修改的惡意程式庫,表示攻擊者很可能已掌控工作負載,並正在執行惡意軟體。 發現項目會歸類為重大嚴重性。 |
偵測器會尋找載入的程式庫,該程式庫原本包含在容器映像檔中,但在執行階段經過修改,並根據威脅情報判斷為惡意。 |
| 執行:容器中的 Netcat 遠端程式碼執行作業 | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat 是多用途的網路公用程式,在容器環境中執行,可能表示有人嘗試建立未經授權的遠端存取權或竊取資料。 在容器化環境中使用 Netcat 可能表示攻擊者試圖建立反向殼層、啟用橫向移動或執行任意指令,這可能會損害系統完整性。 發現項目會歸類為低嚴重性。 |
偵測器會監控容器內是否執行 Netcat,因為在實際工作環境中,這類執行作業並不常見,可能表示有人試圖規避安全控管措施或執行遠端指令。 |
| 執行作業:偵測到可能的遠端指令執行作業 | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
系統偵測到某個程序透過網路通訊端連線產生常見的 UNIX 指令,這表示該程序可能嘗試建立未經授權的遠端指令執行功能。 攻擊者經常使用模仿反向 Shell 的技術,以取得遭入侵系統的互動式控制權,進而遠端執行任意指令,並規避防火牆限制等標準網路安全措施。偵測到透過通訊端執行的指令,是惡意遠端存取的強烈指標。 發現項目會歸類為中等嚴重程度。 |
這個偵測器會監控網路通訊端的建立作業,然後執行標準 UNIX 殼層指令。這個模式表示有人試圖建立隱蔽通道,以便執行遠端指令,進而可能在遭入侵的主機上進行其他惡意活動。 |
| 執行:在禁止使用 HTTP Proxy 的環境中執行程式 | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
執行程式時使用的 HTTP Proxy 環境變數遭到禁止。這可能表示有人試圖規避安全控管措施、基於惡意目的重新導向流量,或透過未經授權的管道竊取資料。 攻擊者可能會設定遭禁止的 HTTP Proxy,藉此攔截機密資訊、透過惡意伺服器轉送流量,或是建立隱蔽的通訊管道。偵測使用這些環境變數執行的程式,對於維護網路安全及防止資料外洩至關重要。 發現項目會歸類為低嚴重性。 |
這個偵測器會監控程式的執行情況,確保程式不會使用特定禁止的 HTTP Proxy 環境變數。使用這些 Proxy (尤其是非預期使用時) 可能代表惡意活動,因此需要立即調查。 |
| 執行:已載入可疑的 OpenSSL 共用物件 | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL 已執行,可載入自訂共用物件。 攻擊者可能會載入自訂程式庫,並取代 OpenSSL 使用的現有程式庫,藉此執行惡意程式碼。在實際工作環境中很少使用,應立即調查。 發現項目會歸類為「重大」嚴重性。 |
這個偵測器會監控 openssl engine 指令的執行情況,以便載入自訂 .so 檔案。 |
| 外洩:在容器中啟動遠端檔案複製工具 | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
系統在容器中偵測到遠端檔案複製工具的執行作業,這表示可能發生資料外洩、橫向移動或部署惡意酬載的情況。 攻擊者通常會使用這些工具將機密資料移出容器、在網路中橫向移動以入侵其他系統,或導入惡意軟體以進行其他惡意活動。偵測遠端檔案複製工具的使用情況,對於防止資料外洩、未經授權的存取行為,以及容器 (甚至主機系統) 進一步遭到入侵至關重要。 發現項目會歸類為低嚴重性。 |
這個偵測器會監控容器環境中是否執行已知的遠端檔案複製工具。如果出現這類檔案,尤其是出乎意料地出現,可能表示有惡意活動。 |
| 影響:偵測惡意指令列 | DETECT_MALICIOUS_CMDLINES |
執行指令時使用的引數可能具有破壞性,例如嘗試刪除重要系統檔案或修改密碼相關設定。 攻擊者可能會發出惡意指令列,導致系統不穩定、刪除重要檔案以防止復原,或操控使用者憑證來取得未經授權的存取權。偵測這些特定指令模式,對於避免系統受到重大影響至關重要。 發現項目會歸類為重大嚴重性。 |
這個偵測器會監控與系統損壞或權限提升相關聯的模式,並執行相符的命令列引數。如果出現這類指令,表示有人可能正試圖對系統的可用性或安全性造成負面影響。 |
| 影響:從磁碟移除大量資料 | REMOVE_BULK_DATA_FROM_DISK |
系統偵測到某個程序正在執行大量資料刪除作業,這可能表示有人試圖清除證據、中斷服務,或在容器環境中執行資料清除攻擊。 攻擊者可能會移除大量資料來掩蓋行蹤、破壞作業,或準備部署勒索軟體。偵測這類活動有助於在重要資料遺失前,找出潛在威脅。 發現項目會歸類為低嚴重性。 |
偵測器會監控與大量刪除資料或其他資料清除工具相關的指令和程序,以找出可能危害系統完整性的可疑活動。 |
| 影響:使用 Stratum 通訊協定的可疑加密貨幣挖礦活動 | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
系統偵測到某個程序透過 Stratum 通訊協定進行通訊,而加密貨幣挖礦軟體通常會使用這個通訊協定。這項活動表示容器環境中可能存在未經授權的挖礦作業。 攻擊者通常會部署加密貨幣挖礦程式,利用系統資源牟利,導致效能降低、作業成本增加,以及潛在的安全風險。偵測這類活動有助於防範資源濫用和未經授權存取。 發現項目會分類為「高」嚴重性。 |
這個偵測器會監控環境中已知的 Stratum 通訊協定使用情形。因為正當的容器工作負載通常不會使用 Stratum,所以如果發現有 Stratum,可能代表未經授權的挖礦作業或遭入侵的容器。 |
| 已執行惡意指令碼 | MALICIOUS_SCRIPT_EXECUTED |
機器學習模型將指定的 Bash 程式碼判定為惡意程式碼。攻擊者可以使用 Bash 將工具或其他檔案從外部系統轉移到遭入侵的環境,並在沒有二進位檔的情況下執行指令。 發現項目會歸類為「重大」嚴重性。 |
偵測器會使用 NLP 技術評估執行的 Bash 程式碼內容。由於這種方法並非以簽章為依據,偵測器可以識別已知和新型的惡意 Bash。 |
| 偵測到惡意網址 | MALICIOUS_URL_OBSERVED |
Container Threat Detection 在執行中程序的引數清單中發現惡意網址。 發現項目會歸類為中等嚴重程度。 |
偵測器會根據 Google 安全瀏覽服務維護的不安全網頁資源清單,檢查執行中程序的引數清單中觀察到的網址。如果系統誤將網址歸類為網路釣魚或惡意軟體,請前往「 回報不正確的資料」頁面回報。 |
| 權限提升:在 /dev/shm 中無檔案執行作業 | FILELESS_EXECUTION_DETECTION_SHM |
已從
如果從 發現項目會分類為「高」嚴重性。 |
偵測器會尋找從 /dev/shm 執行的任何程序。 |
| 反向殼層 | REVERSE_SHELL |
程序已啟動,並將串流重新導向至遠端連線的通訊端。 攻擊者可透過反向 Shell,從遭入侵的工作負載與攻擊者控制的機器通訊。攻擊者隨後就能指揮及控制工作負載,例如將其納入殭屍網路。 發現項目會歸類為重大嚴重性。 |
偵測器會尋找繫結至遠端通訊端的 stdin。
|
| 非預期的子殼層 | UNEXPECTED_CHILD_SHELL |
通常不會叫用殼層的程序產生了殼層程序。 發現項目會歸類為重大嚴重性。 |
偵測器會監控所有程序執行作業。如果叫用殼層,且已知父項程序通常不會叫用殼層,偵測器就會產生發現項目。 |
後續步驟
- 瞭解如何使用 Container Threat Detection。
- 瞭解如何測試 Container Threat Detection。
- 瞭解如何調查及制定威脅因應計畫。
- 瞭解 Artifact Analysis 和安全漏洞掃描。