이 페이지에서는 Container Threat Detection 개념과 기능을 개략적으로 설명합니다.
Container Threat Detection이란?
Container Threat Detection은 Container-Optimized OS 노드 이미지의 상태를 지속적으로 모니터링하는 Security Command Center의 기본 제공 서비스입니다. 이 서비스는 런타임 공격을 감지하기 위해 모든 변경사항과 원격 액세스 시도를 거의 실시간으로 평가합니다.
Container Threat Detection은 가장 일반적인 컨테이너 런타임 공격을 감지하고 Security Command Center 및 필요한 경우 Cloud Logging에서 알림을 제공합니다. Container Threat Detection에는 의심스러운 바이너리 및 라이브러리 등 여러 감지 기능이 포함되며, 자연어 처리(NLP)를 사용하여 악성 Bash 및 Python 코드를 감지합니다.
Container Threat Detection은 Security Command Center의 프리미엄 등급 또는 Enterprise 등급에서만 사용할 수 있습니다.
Container Threat Detection 작동 방식
Container Threat Detection 감지 계측은 게스트 커널 및 실행된 스크립트에서 하위 수준의 동작을 수집합니다. 다음은 이벤트가 감지될 때의 실행 경로입니다.
Container Threat Detection은 DaemonSet 사용자 모드를 통해 컨테이너를 식별하는 정보와 이벤트 정보를 분석을 위해 감지기 서비스로 전달합니다. 이벤트 컬렉션은 Container Threat Detection이 사용 설정되면 자동으로 구성됩니다.
감시자 DaemonSet는 컨테이너 정보를 최선의 방법으로 전달합니다. Kubernetes 및 컨테이너 런타임이 해당 컨테이너 정보를 시간 내에 전달하지 못할 경우 보고된 발견 항목에서 컨테이너 정보가 삭제될 수 있습니다.
감지기 서비스는 이벤트를 분석하여 이벤트가 이슈를 나타내는지 확인합니다. NLP와 함께 Bash 및 Python 스크립트를 분석하여 실행된 코드가 악성인지 확인합니다.
감지기 서비스가 이슈를 식별한 경우 이슈는 Security Command Center의 발견 항목으로 기록되며 선택적으로 Cloud Logging에 기록됩니다.
- 감지기 서비스가 이슈를 식별하지 않으면 발견 항목 정보는 저장되지 않습니다.
- 커널 및 감지기 서비스의 모든 데이터는 일시적이며 영구적으로 저장되지 않습니다.
Security Command Center 콘솔에서 발견 항목 세부정보를 확인하고 발견 항목 정보를 조사할 수 있습니다. 발견 항목 및 로그를 보고 수정하는 기능은 사용자에게 부여된 역할에 따라 결정됩니다. Security Command Center 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.
고려사항
클러스터에 설치된 다른 보안 감지 도구는 Container Threat Detection의 성능을 저하시키고 오작동을 일으킬 수 있습니다. 클러스터가 이미 Container Threat Detection으로 보호되고 있다면 클러스터에 다른 보안 감지 도구를 설치하지 않는 것이 좋습니다.
Container Threat Detection 감지기
Container Threat Detection에는 다음과 같은 감지기가 포함됩니다.
| 감지기 | 모듈 | 설명 | 감지 입력 |
|---|---|---|---|
| 추가된 바이너리가 실행됨 | ADDED_BINARY_EXECUTED |
원본 컨테이너 이미지에 포함되지 않은 바이너리가 실행되었습니다. 추가된 바이너리가 공격자에 의해 실행되면 공격자가 워크로드를 제어하고 임의의 명령어를 실행하고 있다는 신호일 수 있습니다. 이 감지기는 기본적으로 사용 중지되어 있습니다. 사용 설정 방법에 대한 안내는 Container Threat Detection 테스트를 참조하세요. 발견 사항은 심각도가 낮음으로 분류됩니다. |
감지기는 원본 컨테이너 이미지에 포함되지 않았거나 원본 컨테이너 이미지에서 수정된 실행 중인 바이너리를 찾습니다. |
| 추가된 라이브러리가 로드됨 | ADDED_LIBRARY_LOADED |
원본 컨테이너 이미지에 포함되지 않은 라이브러리가 로드되었습니다. 추가된 라이브러리가 로드된 경우 공격자가 워크로드를 제어하고 임의의 코드를 실행하고 있다는 신호일 수 있습니다. 이 감지기는 기본적으로 사용 중지되어 있습니다. 사용 설정 방법에 대한 안내는 Container Threat Detection 테스트를 참조하세요. 발견 사항은 심각도가 낮음으로 분류됩니다. |
감지기는 원본 컨테이너 이미지의 일부가 아니거나 원본 컨테이너 이미지에서 수정된 로드 중인 라이브러리를 찾습니다. |
| 명령 및 제어: 스테가노그래피 도구 감지됨 | STEGANOGRAPHY_TOOL_DETECTED |
Unix 계열 환경에서 흔히 사용되는 스테가노그래피 도구로 식별되는 프로그램이 실행되었습니다. 이는 통신 또는 데이터 전송을 은폐하려는 시도일 수 있습니다. 공격자는 스테가노그래피 기법을 활용하여 겉보기에 무해한 디지털 파일 내에 악성 명령 및 제어(C2) 지침이나 유출된 데이터를 삽입하여 표준 보안 모니터링 및 감지를 회피하려고 할 수 있습니다. 이러한 도구의 사용을 식별하는 것은 숨겨진 악성 활동을 발견하는 데 매우 중요합니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
이 감지기는 알려진 스테가노그래피 도구의 실행을 모니터링합니다. 이러한 도구의 존재는 네트워크 트래픽을 은폐하거나 데이터를 유출하려는 의도적인 노력이 있었음을 시사하며, 악의적인 목적으로 은밀한 통신 채널을 설정했을 가능성이 있습니다. |
| 사용자 인증 정보 액세스: Google Cloud 사용자 인증 정보 찾기 | FIND_GCP_CREDENTIALS |
컨테이너 환경 내에서 Google Cloud 비공개 키, 비밀번호 또는 기타 민감한 사용자 인증 정보를 검색하는 명령어가 실행되었습니다. 공격자는 도용된 Google Cloud 사용자 인증 정보를 사용하여 대상 Google Cloud 환경 내의 민감한 정보 또는 리소스에 불법적으로 액세스할 수 있습니다. 발견 사항은 심각도가 낮음으로 분류됩니다. 이 감지기는 기본적으로 사용 중지되어 있습니다. 발견 항목은 기본적으로 심각도가 낮음으로 분류됩니다. 사용 설정 방법에 대한 안내는 Container Threat Detection 테스트를 참조하세요. |
이 감지는 Google Cloud사용자 인증 정보가 포함된 파일을 찾으려고 시도하는 find 또는 grep 명령어를 모니터링합니다.
|
| 사용자 인증 정보 액세스: GPG 키 정탐 | GPG_KEY_RECONNAISSANCE |
GPG 보안 키를 검색하는 명령어가 실행되었습니다. 공격자가 도난당한 GPG 보안 키를 사용하여 암호화된 통신 또는 파일에 무단으로 액세스할 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
이 감지기는 GPG 보안 키를 찾으려는 find 또는 grep 명령어를 모니터링합니다.
|
| 사용자 인증 정보 액세스: 비공개 키 또는 비밀번호 검색 | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
컨테이너 환경 내에서 비공개 키, 비밀번호 또는 기타 민감한 사용자 인증 정보를 검색하는 명령어가 실행되어 인증 데이터를 수집하려는 시도가 있을 수 있음을 나타냅니다. 공격자는 시스템에 무단으로 액세스하거나, 권한을 에스컬레이션하거나, 환경 내에서 수평으로 이동하기 위해 사용자 인증 정보 파일을 검색하는 경우가 많습니다. 이러한 활동을 감지하는 것은 보안 침해를 방지하는 데 매우 중요합니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
이 감지기는 비공개 키, 비밀번호 또는 사용자 인증 정보 파일을 찾는 데 사용되는 알려진 명령어를 모니터링합니다. 컨테이너화된 환경 내에 이러한 검색이 있으면 정찰 활동이나 진행 중인 침해가 있음을 나타낼 수 있습니다. |
| 방어 회피: Base64 ELF 파일 명령줄 | BASE64_ELF_FILE_CMDLINE |
인수로 ELF(실행 파일 및 연결 가능한 형식) 파일이 포함된 프로세스가 실행되었습니다. 인코딩된 ELF 파일 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 탐지를 회피하고, ELF 파일에 숨겨진 악성 코드를 실행할 수 있습니다. 발견 사항은 심각도가 보통으로 분류됩니다. |
이 감지는 ELF를 포함하고 base64로 인코딩된 프로세스 인수를 모니터링합니다.
|
| 방어 회피: base64로 인코딩된 Python 스크립트 실행됨 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
base64로 인코딩된 Python 스크립트를 인수로 포함한 프로세스가 실행되었습니다. 인코딩된 Python 스크립트 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 탐지를 회피하고, Python 스크립트에 숨겨진 악성 코드를 실행할 수 있습니다. 발견 사항은 심각도가 보통으로 분류됩니다. |
이 감지는 다양한 형태의 python -c를 포함하고 base64로 인코딩된 프로세스 인수를 모니터링합니다.
|
| 방어 회피: Base64로 인코딩된 셸 스크립트 실행됨 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
base64로 인코딩된 셸 스크립트를 인수로 포함한 프로세스가 실행되었습니다. 인코딩된 셸 스크립트 실행이 감지된 경우, 이는 공격자가 바이너리 데이터를 ASCII 전용 명령줄에 전달하기 위해 인코딩을 시도하고 있다는 신호일 수 있습니다. 공격자는 이 기법을 이용해 감지를 회피하고, 셸 스크립트에 숨겨진 악성 코드를 실행할 수 있습니다. 발견 사항은 심각도가 보통으로 분류됩니다. |
이 감지는 프로세스 인수를 모니터링하여 base64로 인코딩된 다양한 형태의 셸 명령어가 포함된 인수를 찾습니다. |
| 방어 회피: 컨테이너에서 코드 컴파일러 도구 실행 | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
컨테이너 환경 내에서 코드 컴파일러 도구를 실행하는 프로세스가 시작되었습니다. 이는 격리된 컨텍스트에서 실행 가능한 코드를 빌드하거나 수정하려는 시도일 수 있습니다. 공격자는 컨테이너 내에서 코드 컴파일러를 사용하여 악성 페이로드를 개발하거나, 기존 바이너리에 코드를 삽입하거나, 보안 제어를 우회하는 도구를 만들 수 있습니다. 이 모든 작업은 호스트 시스템에서 감지를 피하기 위해 감시가 덜한 환경에서 이루어집니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
이 감지기는 컨테이너 내에서 알려진 코드 컴파일러 도구의 실행을 모니터링합니다. 이러한 활동이 있다는 것은 컨테이너 내에서 악성 코드 개발 또는 수정이 이루어지고 있을 가능성을 시사하며, 이는 시스템 구성요소나 클라이언트 소프트웨어를 조작하기 위한 방어 회피 전술일 수 있습니다. |
| 실행: 추가된 악성 바이너리 실행됨 | ADDED_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
추가된 악성 바이너리가 실행되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 원본 컨테이너 이미지에 포함되지 않았고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다. |
| 실행: 추가된 악성 라이브러리가 로드됨 | ADDED_MALICIOUS_LIBRARY_LOADED |
다음 조건을 충족하는 라이브러리가 로드되었습니다.
추가된 악성 라이브러리가 로드되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 원본 컨테이너 이미지에 포함되지 않았고 위협 인텔리전스에 따라 악성으로 식별된 로드 중인 라이브러리를 찾습니다. |
| 실행: 기본 제공되는 악성 바이너리가 실행됨 | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
기본 제공 악성 바이너리가 실행되는 경우 이는 공격자가 악성 컨테이너를 배포하고 있다는 신호입니다. 공격자가 합법적인 이미지 저장소나 컨테이너 빌드 파이프라인을 제어하여 악성 바이너리를 컨테이너 이미지에 삽입했을 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 원본 컨테이너 이미지에 포함되어 있고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다. |
| 실행: 컨테이너 이스케이프 | CONTAINER_ESCAPE |
컨테이너의 격리를 해제하려고 시도하는 프로세스가 컨테이너 내에서 실행되어 공격자가 호스트 시스템에 액세스할 가능성이 있습니다. 컨테이너 이스케이프 시도가 감지되면 공격자가 취약점을 공격하여 컨테이너를 벗어나고 있음을 나타낼 수 있습니다. 그 결과 공격자가 호스트 시스템 또는 더 광범위한 인프라에 무단으로 액세스하여 전체 환경을 손상시킬 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 알려진 이스케이프 기법 또는 바이너리를 사용하여 컨테이너 경계를 익스플로잇하려는 프로세스를 모니터링합니다. 이러한 프로세스는 위협 인텔리전스에 의해 기본 호스트 시스템을 타겟팅하는 잠재적 공격으로 표시됩니다. |
| 실행: /memfd에서 파일 없는 실행 | FILELESS_EXECUTION_DETECTION_MEMFD |
메모리 내 파일 설명자를 사용하여 프로세스가 실행되었습니다. 프로세스가 메모리 내 파일에서 실행된 경우, 이는 공격자가 악성 코드를 실행하면서 다른 감지 방법을 우회하려는 시도일 수 있습니다. 발견 사항은 심각도가 높음으로 분류됩니다. |
감지기는 /memfd:에서 실행되는 프로세스를 모니터링합니다.
|
| 실행: 인그레스 나이트메어 취약점 실행(미리보기) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
CVE-2025-1974 실행은
이 클래스의 취약점은 악의적인 행위자가 발견 사항은 심각도가 보통으로 분류됩니다. |
이 감지기는 /proc 파일 시스템에 대한 참조가 포함된 인수가 있는 Nginx 실행을 ingress-nginx 컨테이너에서 모니터링하여 잠재적인 원격 코드 실행을 나타냅니다.
|
| 실행: Kubernetes 공격 도구 실행 | KUBERNETES_ATTACK_TOOL_EXECUTION |
Kubernetes 관련 공격 도구가 환경 내에서 실행되었습니다. 이는 공격자가 Kubernetes 클러스터 구성요소를 타겟팅하고 있음을 나타낼 수 있습니다. 공격 도구가 Kubernetes 환경 내에서 실행되면 공격자가 클러스터에 액세스하여 Kubernetes 관련 취약점 또는 구성을 익스플로잇하는 도구를 사용하고 있을 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 실행 중이고 정보 데이터를 기반으로 잠재적 위협으로 식별된 Kubernetes 공격 도구를 찾습니다. 감지기는 클러스터의 잠재적인 보안 침해를 완화하기 위해 알림을 트리거합니다. |
| 실행: 로컬 정탐 도구 실행 | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
일반적으로 컨테이너 또는 환경과 관련되지 않은 로컬 정탐 도구가 실행되어 내부 시스템 정보를 수집하려는 시도가 있었음을 나타냅니다. 정탐 도구가 실행되면 공격자가 다음 단계를 계획하기 위해 인프라를 매핑하거나 취약점을 식별하거나 시스템 구성에 관한 데이터를 수집하려고 할 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
이 감지기는 위협 인텔리전스를 통해 식별되고 환경 내에서 실행되는 것으로 알려진 정탐 도구를 모니터링합니다. 이는 더 악의적인 활동을 준비하고 있음을 나타낼 수 있습니다. |
| 실행: 악성 Python 실행됨 | MALICIOUS_PYTHON_EXECUTED |
머신러닝 모델이 지정된 Python 코드를 악성으로 식별했습니다. 공격자는 Python을 사용하여 도구나 기타 파일을 외부 시스템에서 손상된 환경으로 전송하고 바이너리 없이 명령어를 실행할 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기가 NLP 기법을 사용하여 실행된 Python 코드의 콘텐츠를 평가합니다. 이 방법은 서명을 기반으로 하지 않기 때문에 감지기가 알려진 Python과 새로운 Python을 식별할 수 있습니다. |
| 실행: 수정된 악성 바이너리 실행됨 | MODIFIED_MALICIOUS_BINARY_EXECUTED |
다음 조건을 충족하는 바이너리가 실행되었습니다.
수정된 악성 바이너리가 실행되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 컨테이너 이미지에 원래 포함되었지만 런타임 중에 수정되었고 위협 인텔리전스에 따라 악성으로 식별된 실행 중인 바이너리를 찾습니다. |
| 실행: 수정된 악성 라이브러리가 로드됨 | MODIFIED_MALICIOUS_LIBRARY_LOADED |
다음 조건을 충족하는 라이브러리가 로드되었습니다.
수정된 악성 라이브러리가 로드되는 경우 이는 공격자가 워크로드를 제어하고 악성 소프트웨어를 실행하고 있다는 강력한 신호입니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 컨테이너 이미지에 원래 포함되었지만 런타임 중에 수정되었고 위협 인텔리전스에 따라 악성으로 식별된 로드 중인 라이브러리를 찾습니다. |
| 실행: 컨테이너에서 Netcat 원격 코드 실행 | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
다용도 네트워킹 유틸리티인 Netcat이 컨테이너 환경 내에서 실행되었습니다. 이는 승인되지 않은 원격 액세스를 설정하거나 데이터를 무단 반출하려는 시도일 수 있습니다. 컨테이너화된 환경에서 Netcat을 사용하면 공격자가 리버스 셸을 생성하거나, 측면 이동을 사용 설정하거나, 임의의 명령어를 실행하려는 시도일 수 있으며, 이는 시스템 무결성을 손상시킬 수 있습니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
감지기는 컨테이너 내에서 Netcat 실행을 모니터링합니다. 프로덕션 환경에서 Netcat을 사용하는 것은 일반적이지 않으며 보안 제어를 우회하거나 원격 명령어를 실행하려는 시도일 수 있기 때문입니다. |
| 실행: 원격 명령어 실행이 감지되었을 가능성 있음 | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
네트워크 소켓 연결을 통해 일반적인 UNIX 명령어를 생성하는 프로세스가 감지되었으며, 이는 승인되지 않은 원격 명령어 실행 기능을 설정하려는 시도일 수 있습니다. 공격자는 리버스 셸을 모방하는 기법을 자주 활용하여 손상된 시스템을 대화형으로 제어할 수 있으므로 원격으로 임의의 명령어를 실행하고 방화벽 제한과 같은 표준 네트워크 보안 조치를 우회할 수 있습니다. 소켓을 통한 명령어 실행 감지는 악의적인 원격 액세스를 나타내는 강력한 지표입니다. 발견 사항은 심각도가 보통으로 분류됩니다. |
이 감지기는 네트워크 소켓 생성 후 표준 UNIX 셸 명령어가 실행되는지 모니터링합니다. 이 패턴은 원격 명령어 실행을 위한 은밀한 채널을 만들려는 시도를 나타내며, 이는 손상된 호스트에서 추가 악성 활동을 가능하게 할 수 있습니다. |
| 실행: 허용되지 않는 HTTP 프록시 환경을 사용한 프로그램 실행 | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
허용되지 않은 HTTP 프록시 환경 변수를 사용하여 프로그램이 실행되었습니다. 이 활동은 보안 통제를 우회하거나, 트래픽을 악의적인 목적으로 리디렉션하거나, 무단 채널을 통해 데이터를 유출하려는 시도를 나타낼 수 있습니다. 공격자는 민감한 정보를 가로채거나, 악의적인 서버로 트래픽을 라우팅하거나, 은밀한 통신 채널을 설정하기 위해 허용되지 않은 HTTP 프록시를 구성할 수 있습니다. 이러한 환경 변수로 실행되는 프로그램을 감지하는 작업은 네트워크 보안을 유지하고 데이터 유출을 방지하기 위해 매우 중요합니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
이 감지기는 특별히 허용되지 않은 HTTP 프록시 환경 변수를 사용하여 프로그램이 실행되는지 모니터링합니다. 이러한 프록시의 사용은 특히 예상치 못한 경우 악성 활동을 나타낼 수 있으므로 즉시 조사해야 합니다. |
| 실행: 의심스러운 OpenSSL 공유 객체 로드됨 | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL이 커스텀 공유 객체를 로드하기 위해 실행되었습니다. 공격자는 악성 코드를 실행하기 위해 커스텀 라이브러리를 로드하거나, OpenSSL에 사용되는 기존 라이브러리를 교체할 수 있습니다. 프로덕션에서는 이러한 사용이 드물게 나타나며, 즉각적인 조사가 필요합니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
이 감지기는 커스텀 .so 파일을 로드하기 위해 openssl engine 명령어의 실행을 모니터링합니다.
|
| 컨테이너에서 원격 파일 복사 도구 실행 | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
컨테이너 내에서 원격 파일 복사 도구 실행이 감지되었습니다. 이는 데이터 무단 반출, 측면 이동 또는 악성 페이로드 배포를 나타낼 수 있습니다. 공격자는 이러한 도구를 사용하여 컨테이너 외부로 민감한 데이터를 전송하거나, 네트워크 내에서 측면으로 이동하여 다른 시스템을 손상시키거나, 추가로 악의적인 활동을 위해 멀웨어를 도입하는 경우가 많습니다. 원격 파일 복사 도구의 사용을 감지하는 것은 데이터 유출, 무단 액세스, 컨테이너 및 잠재적으로 호스트 시스템의 추가 손상을 방지하는 데 매우 중요합니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
이 감지기는 컨테이너 환경 내에서 알려진 원격 파일 복사 도구의 실행을 모니터링합니다. 특히 예상치 못한 상황에서 이러한 도구가 있으면 악의적인 활동을 나타내는 것일 수 있습니다. |
| 영향: 악의적인 명령줄 감지 | DETECT_MALICIOUS_CMDLINES |
중요한 시스템 파일을 삭제하거나 비밀번호 관련 구성을 수정하려는 시도와 같이 파괴적일 수 있는 인수를 사용하여 명령어가 실행되었습니다. 공격자는 악성 명령줄을 실행하여 시스템 불안정성을 유도하거나, 핵심 파일을 삭제하여 복구를 방지하거나, 사용자 인증 정보를 조작하여 무단 액세스를 시도할 수 있습니다. 이러한 특정 명령어 패턴을 감지하는 것은 심각한 시스템 영향을 방지하는 데 매우 중요합니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
이 감지기는 시스템 손상 또는 권한 에스컬레이션과 관련된 패턴과 일치하는 명령줄 인수의 실행을 모니터링합니다. 이러한 명령어가 있으면 시스템의 가용성이나 보안에 부정적인 영향을 미치려는 진행 중인 활동 시도가 있음을 나타낼 수 있습니다. |
| 영향: 디스크에서 대량 데이터 삭제 | REMOVE_BULK_DATA_FROM_DISK |
대량의 데이터 삭제 작업을 수행하는 프로세스가 감지되었습니다. 이는 컨테이너 환경 내에서 증거를 삭제하거나, 서비스를 방해하거나, 데이터 삭제 공격을 수행하려는 시도일 수 있습니다. 공격자는 흔적을 숨기거나, 작업을 방해하거나, 랜섬웨어 배포를 준비하기 위해 대량의 데이터를 삭제할 수 있습니다. 이러한 활동을 감지는 중요한 데이터 손실이 발생하기 전에 잠재적인 위협을 식별하는 데 도움이 됩니다. 발견 사항은 심각도가 낮음으로 분류됩니다. |
이 감지기는 대량 데이터 삭제 또는 기타 데이터 삭제 도구와 관련된 명령어와 프로세스를 모니터링하여 시스템 무결성을 손상시킬 수 있는 의심스러운 활동을 식별합니다. |
| 영향: Stratum 프로토콜을 사용하는 의심스러운 암호화폐 채굴 활동 | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
암호화폐 채굴 소프트웨어에서 흔히 사용되는 Stratum 프로토콜을 통해 통신하는 프로세스가 감지되었습니다. 이 활동은 컨테이너 환경 내에서 승인되지 않은 채굴 작업이 이루어지고 있을 가능성을 암시합니다. 공격자는 금전적 이득을 위해 시스템 리소스를 익스플로잇하기 위해 암호화폐 채굴자를 배포하는 경우가 많으며, 이로 인해 성능이 저하되고 운영 비용이 증가하며 보안 위험이 발생할 수 있습니다. 이러한 활동을 감지하면 리소스 악용 및 무단 액세스를 완화하는 데 도움이 됩니다. 발견 사항은 심각도가 높음으로 분류됩니다. |
이 감지기는 환경 내에서 알려진 Stratum 프로토콜 사용을 모니터링합니다. 합법적인 컨테이너 워크로드는 일반적으로 Stratum을 사용하지 않으므로 Stratum이 있으면 무단 채굴 작업이나 컨테이너가 도용되었음을 나타낼 수 있습니다. |
| 악성 스크립트가 실행됨 | MALICIOUS_SCRIPT_EXECUTED |
머신러닝 모델이 지정된 Bash 코드를 악성으로 식별했습니다. 공격자는 Bash를 사용하여 도구나 기타 파일을 외부 시스템에서 손상된 환경으로 전송하고 바이너리 없이 명령어를 실행할 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 NLP 기법을 사용하여 실행된 Bash 코드의 콘텐츠를 평가합니다. 이 방법은 서명을 기반으로 하지 않기 때문에 감지기가 알려진 bash 및 새로운 악성 bash를 식별할 수 있습니다. |
| 악성 URL 관찰 | MALICIOUS_URL_OBSERVED |
Container Threat Detection이 실행 중인 프로세스의 인수 목록에서 악성 URL을 관찰했습니다. 발견 사항은 심각도가 보통으로 분류됩니다. |
감지기는 Google 세이프 브라우징 서비스에서 유지보수되는 안전하지 않은 웹 리소스 목록을 기준으로 사용해서 실행 중인 프로세스의 인수 목록에서 관찰된 URL을 확인합니다. URL이 피싱 또는 멀웨어로 잘못 분류된 경우 잘못된 데이터 보고에서 이를 보고합니다. |
| 권한 에스컬레이션: /dev/shm에서 파일 없는 실행 | FILELESS_EXECUTION_DETECTION_SHM |
발견 사항은 심각도가 높음으로 분류됩니다. |
감지기는 /dev/shm에서 실행된 프로세스를 찾습니다.
|
| 리버스 셸 | REVERSE_SHELL |
원격으로 연결된 소켓에 대한 스트림 리디렉션으로 프로세스가 시작되었습니다. 리버스 셸을 사용하면 공격자는 손상된 워크로드에서 공격자가 제어하는 머신으로 통신할 수 있습니다. 그런 다음 공격자가 봇넷의 일부로 워크로드를 명령하고 제어할 수 있습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 원격 소켓에 결합된 stdin을 찾습니다.
|
| 예기치 않은 하위 셸 | UNEXPECTED_CHILD_SHELL |
일반적으로 셸을 호출하지 않는 프로세스로 인해 셸 프로세스가 생성되었습니다. 발견 사항은 심각도가 매우 높음으로 분류됩니다. |
감지기는 모든 프로세스 실행을 모니터링합니다. 셸이 호출될 때 감지기는 상위 프로세스가 일반적으로 셸을 호출하지 않는 것으로 알려진 경우에 발견 항목을 생성합니다. |
다음 단계
- Container Threat Detection 사용 알아보기
- Container Threat Detection 테스트 알아보기
- 위협에 대한 대응 계획을 조사하고 개발하는 방법 알아보기
- Artifact Analysis 및 취약점 스캔 알아보기