Nesta página, você encontra uma visão geral dos conceitos e recursos do Container Threat Detection.
O que é o Container Threat Detection?
O Container Threat Detection é um serviço integrado do Security Command Center que monitora continuamente o estado das imagens de nó do Container-Optimized OS. O serviço avalia todas as mudanças e tentativas de acesso remoto para detectar ataques de ambiente de execução quase em tempo real.
O Container Threat Detection detecta os ataques mais comuns no ambiente de execução do contêiner e envia alertas no Security Command Center e, opcionalmente, no Cloud Logging. O Container Threat Detection inclui vários recursos de detecção, incluindo binários e bibliotecas suspeitos, e usa processamento de linguagem natural (PLN) para detectar códigos Bash e Python maliciosos.
O Container Threat Detection está disponível apenas com o nível Premium ou Enterprise do Security Command Center.
Como funciona o
A instrumentação de detecção do Container Threat Detection coleta o comportamento de baixo nível no kernel convidado e executa scripts. Veja a seguir o caminho de execução quando os eventos são detectados:
O Container Threat Detection transmite informações de evento e informações que identificam o contêiner usando um DaemonSet de modo de usuário para um serviço de detector para análise. A coleção de eventos é configurada automaticamente quando o Container Threat Detection está ativado.
O DaemonSet do inspetor transmite informações do contêiner da melhor maneira possível. As informações do contêiner poderão ser removidas da descoberta informada se o Kubernetes e o ambiente de execução dele não enviarem as informações correspondentes a tempo.
O serviço de detector analisa eventos para determinar se um evento indica um incidente. Os scripts Bash e Python são analisados com PLN para determinar se o código executado é malicioso.
Se o serviço identificar um incidente, ele será gravado como uma descoberta no Security Command Center ou, opcionalmente, no Cloud Logging.
- Se o serviço de detector não identificar um incidente, a descoberta de informações não será armazenada.
- Todos os dados no serviço de kernel e detector são temporários e não são armazenados de forma permanente.
É possível ver os detalhes da descoberta no console do Security Command Center e investigar as informações de descoberta. A capacidade de visualizar e editar as descobertas é determinada pelos papéis concedidos a você. Para mais informações sobre os papéis do Security Command Center, consulte Controle de acesso.
Considerações
Outras ferramentas de detecção de segurança instaladas no cluster podem prejudicar o desempenho do Container Threat Detection e causar mau funcionamento. Recomendamos que você não tenha outras ferramentas de detecção de segurança instaladas no cluster se ele já estiver protegido pela Detecção de ameaças em contêineres.
Considerações sobre o uso de detectores de monitoramento de arquivos
O Container Threat Detection inclui vários detectores que monitoram operações de arquivo em busca de acesso ou modificação de arquivos críticos do sistema. Esses detectores monitoram as operações de arquivo que ocorrem no nó. Cargas de trabalho com E/S de arquivo significativa, como sistemas de CI/CD, podem sofrer degradação de desempenho quando esses detectores estão ativados. Para evitar impactos inesperados, esses detectores ficam desativados por padrão. A descrição de cada detector inclui um link para instruções de ativação. Recomendamos avaliar o impacto em qualquer carga de trabalho antes de ativar os detectores de monitoramento de arquivos na produção.
Detectores do Container Threat Detection
O Container Threat Detection inclui os seguintes detectores:
| Detector | Módulo | Descrição | Entradas para detecção |
|---|---|---|---|
| Binário adicionado executado | ADDED_BINARY_EXECUTED |
Um binário que não fazia parte da imagem do contêiner original foi executado. Se um binário adicionado for executado por um invasor, é possível que um invasor tenha controle da carga de trabalho e esteja executando comandos arbitrários. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Testar o Container Threat Detection. As descobertas são classificadas como de gravidade baixa. |
O detector procura um binário em execução que não fazia parte da imagem do contêiner original ou foi modificado a partir da imagem do contêiner original. |
| Biblioteca adicionada carregada | ADDED_LIBRARY_LOADED |
Uma biblioteca que não fazia parte da imagem do contêiner original foi carregada. Se uma biblioteca adicionada for carregada, é possível que um invasor tenha controle da carga de trabalho e esteja executando um código arbitrário. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Testar o Container Threat Detection. As descobertas são classificadas como de gravidade baixa. |
O detector procura uma biblioteca carregada que não fazia parte da imagem do contêiner original ou foi modificada na imagem do contêiner original. |
| Coleção: modificação do Pam.d (prévia) | PAM_D_MODIFICATION |
Um dos binários ou arquivos de configuração no diretório O PAM é amplamente usado para autenticação no Linux. Os invasores podem modificar os binários ou arquivos de configuração para estabelecer acesso persistente. Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
Esse detector monitora modificações nos arquivos de biblioteca compartilhada do PAM e nos arquivos de configuração de autorização relacionados. |
| Comando e controle: ferramenta de esteganografia detectada | STEGANOGRAPHY_TOOL_DETECTED |
Um programa foi executado e identificado como uma ferramenta de esteganografia comum em ambientes semelhantes ao Unix, indicando uma possível tentativa de ocultar comunicação ou transferência de dados. Os invasores podem usar técnicas de esteganografia para incorporar instruções maliciosas de comando e controle (C2) ou dados exfiltrados em arquivos digitais aparentemente benignos, com o objetivo de burlar o monitoramento e a detecção de segurança padrão. Identificar o uso dessas ferramentas é crucial para descobrir atividades maliciosas ocultas. As descobertas são classificadas como de gravidade Crítica. |
Esse detector monitora a execução de ferramentas de esteganografia conhecidas. A presença dessas ferramentas sugere um esforço deliberado para ofuscar o tráfego de rede ou exfiltrar dados, estabelecendo potencialmente canais de comunicação secretos para fins maliciosos. |
| Acesso às credenciais: acessar arquivos sensíveis nos nós (pré-lançamento) | ACCESS_SENSITIVE_FILES_ON_NODES |
Um programa foi executado e acessou Os invasores podem acessar arquivos de autorização para copiar hashes de senha. Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
O detector procura acessos a arquivos sensíveis do sistema, como
arquivos /etc/shadow e SSH authorized_keys.
|
| Acesso com credenciais: encontrar Google Cloud Credenciais | FIND_GCP_CREDENTIALS |
Um comando foi executado para pesquisar chaves privadas, senhas ou outras credenciais sensíveis no ambiente de contêiner. Google Cloud Um invasor pode usar credenciais Google Cloud roubadas para ter acesso ilegítimo a dados ou recursos sensíveis no ambiente Google Cloud visado. As descobertas são classificadas como de gravidade baixa. Esse detector fica desativado por padrão. As descobertas são classificadas como de gravidade baixa por padrão. Para instruções sobre como ativar, consulte Testar o Container Threat Detection. |
Essa detecção monitora comandos find ou grep
que tentam localizar arquivos que contêm credenciais Google Cloud.
|
| Acesso às credenciais: reconhecimento de chaves do GPG | GPG_KEY_RECONNAISSANCE |
Um comando foi executado para pesquisar chaves de segurança GPG. Um invasor pode usar chaves de segurança GPG roubadas para conseguir acesso não autorizado a comunicações ou arquivos criptografados. As descobertas são classificadas como de gravidade Crítica. |
Esse detector monitora comandos find ou grep
que tentam localizar chaves de segurança GPG.
|
| Acesso a credenciais: pesquisar senhas ou chaves privadas | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Um comando foi executado para pesquisar chaves privadas, senhas ou outras credenciais sensíveis no ambiente do contêiner, indicando uma possível tentativa de coletar dados de autenticação. Os invasores geralmente procuram arquivos de credenciais para conseguir acesso não autorizado a sistemas, aumentar privilégios ou se mover lateralmente no ambiente. Detectar essas atividades é fundamental para evitar violações de segurança. As descobertas são classificadas como de gravidade baixa. |
Esse detector monitora comandos conhecidos usados para localizar chaves privadas, senhas ou arquivos de credenciais. A presença dessas pesquisas em um ambiente em contêineres pode sugerir esforços de reconhecimento ou um comprometimento ativo. |
| Evasão de defesa: linha de comando de arquivo ELF Base64 | BASE64_ELF_FILE_CMDLINE |
Um processo foi executado e contém um argumento que é um arquivo ELF (formato executável e vinculável). Se uma execução de arquivo ELF codificado for detectada, isso será um sinal de que um invasor está tentando codificar dados binários para transferência para linhas de comando somente ASCII. Os invasores podem usar essa técnica para evitar a detecção e executar códigos maliciosos incorporados em um arquivo ELF. As descobertas são classificadas como de gravidade média. |
Essa detecção monitora argumentos de processo que contêm ELF e são codificados em base64.
|
| Evasão de defesa: script Python codificado em base64 executado | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Um processo foi executado com um argumento que é um script Python codificado em base64. Se uma execução de script Python codificado for detectada, isso significa que um invasor está tentando codificar dados binários para transferência para linhas de comando somente ASCII. Os invasores podem usar essa técnica para evitar a detecção e executar código malicioso incorporado em um script Python. As descobertas são classificadas como de gravidade média. |
Essa detecção monitora argumentos de processo que contêm
várias formas de python -c e são codificados em base64.
|
| Evasão de defesa: script de shell codificado em base64 executado | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Um processo foi executado com um argumento que é um script de shell codificado em base64. Se uma execução de script de shell codificado for detectada, isso significa que um invasor está tentando codificar dados binários para transferência para linhas de comando somente ASCII. Os invasores podem usar essa técnica para evitar a detecção e executar códigos maliciosos incorporados em um script shell. As descobertas são classificadas como de gravidade média. |
Essa detecção monitora argumentos de processo para encontrar aqueles que contêm várias formas de comando shell codificadas em base64. |
| Evasão de defesa: desativar ou modificar o sistema de auditoria do Linux (prévia) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Um dos arquivos de configuração ou de registro do sistema de auditoria foi modificado. Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
Esse detector monitora modificações nas configurações de geração de registros, como mudanças em arquivos de configuração ou comandos específicos, além da desativação de serviços de geração de registros, como journalctl ou auditctl.
|
| Evasão de defesa: iniciar a ferramenta de compilador de código no contêiner | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Um processo foi iniciado para executar uma ferramenta de compilador de código no ambiente de contêiner, indicando uma possível tentativa de criar ou modificar código executável em um contexto isolado. Os invasores podem usar compiladores de código em contêineres para desenvolver payloads maliciosos, injetar código em binários existentes ou criar ferramentas para ignorar controles de segurança, tudo isso operando em um ambiente menos analisado para evitar a detecção no sistema host. As descobertas são classificadas como de gravidade baixa. |
Esse detector monitora a execução de ferramentas conhecidas de compilador de código em contêineres. A presença dessa atividade sugere um possível esforço para realizar o desenvolvimento ou a modificação de código malicioso no contêiner, possivelmente como uma tática de evasão de defesa para adulterar componentes do sistema ou software cliente. |
| Evasão de defesa: certificado raiz instalado (prévia) | ROOT_CERTIFICATE_INSTALLED |
Um certificado raiz foi instalado no nó. Os adversários podem instalar um certificado raiz para evitar alertas de segurança ao estabelecer conexões com servidores da Web maliciosos. Os invasores podem realizar ataques man-in-the-middle, interceptando dados sensíveis trocados entre a vítima e os servidores do adversário, sem acionar nenhum aviso. Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
Esse detector monitora modificações no arquivo de certificado raiz. |
| Execução: binário malicioso adicionado executado | ADDED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso adicionado for executado, isso é um forte sinal de que um invasor tem controle da carga de trabalho e está executando software malicioso. As descobertas são classificadas como de gravidade Crítica. |
O detector procura um binário em execução que não fazia parte da imagem do contêiner original e foi identificado como malicioso com base em inteligência de ameaças. |
| Execução: biblioteca maliciosa adicionada carregada | ADDED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa adicionada for carregada, isso indica que um invasor tem controle da carga de trabalho e está executando software malicioso. As descobertas são classificadas como de gravidade Crítica. |
O detector procura uma biblioteca carregada que não fazia parte da imagem do contêiner original e foi identificada como maliciosa com base na inteligência contra ameaças. |
| Execução: binário malicioso integrado executado | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso integrado for executado, isso indica que o invasor está implantando contêineres maliciosos. Eles podem ter assumido o controle de um repositório de imagens ou pipeline de build de contêineres legítimo e injetado um binário malicioso na imagem do contêiner. As descobertas são classificadas como de gravidade Crítica. |
O detector procura um binário em execução que foi incluído na imagem do contêiner original e foi identificado como malicioso com base em inteligência de ameaças. |
| Execução: escape de contêiner | CONTAINER_ESCAPE |
Um processo foi executado no contêiner e tentou sair do isolamento dele, o que pode dar ao invasor acesso ao sistema host. Se uma tentativa de escape de contêiner for detectada, isso pode indicar que um invasor está explorando vulnerabilidades para sair do contêiner. Como resultado, o invasor pode ganhar acesso não autorizado ao sistema host ou a uma infraestrutura mais ampla, comprometendo todo o ambiente. As descobertas são classificadas como de gravidade Crítica. |
O detector monitora processos que tentam explorar limites de contêineres usando técnicas ou binários de escape conhecidos. Esses processos são sinalizados pela inteligência de ameaças como possíveis ataques ao sistema host subjacente. |
| Execução: execução sem arquivo em /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Um processo foi executado usando um descritor de arquivo na memória. Se um processo for iniciado de um arquivo na memória, isso pode indicar que um invasor está tentando burlar outros métodos de detecção para executar um código malicioso. As descobertas são classificadas como de gravidade Alta. |
O detector monitora processos executados em
/memfd:.
|
| Execução: execução da vulnerabilidade Nightmare do Ingress (pré-lançamento) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
A execução da CVE-2025-1974
pode ser detectada monitorando execuções do Nginx com argumentos que
incluem referências ao sistema de arquivos
Essa classe de vulnerabilidades pode permitir que agentes maliciosos executem
código arbitrário no controlador As descobertas são classificadas como de gravidade média. |
Esse detector monitora o contêiner ingress-nginx para
execuções do Nginx que têm argumentos com referências ao sistema de arquivos
/proc, indicando uma possível execução remota de código.
|
| Execução: execução da ferramenta de ataque do Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Uma ferramenta de ataque específica do Kubernetes foi executada no ambiente, o que pode indicar que um invasor está segmentando componentes do cluster do Kubernetes. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, isso poderá sugerir que um invasor teve acesso ao cluster e está usando a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. As descobertas são classificadas como de gravidade Crítica. |
O detector procura ferramentas de ataque do Kubernetes que estão sendo executadas e são identificadas como ameaças potenciais com base em dados de inteligência. O detector aciona alertas para mitigar possíveis comprometimentos no cluster. |
| Execução: execução da ferramenta de reconhecimento local | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Uma ferramenta de reconhecimento local não associada ao contêiner ou ambiente foi executada, sugerindo uma tentativa de coletar informações internas do sistema. Se uma ferramenta de reconhecimento for executada, isso sugere que o invasor pode estar tentando mapear a infraestrutura, identificar vulnerabilidades ou coletar dados sobre as configurações do sistema para planejar as próximas etapas. As descobertas são classificadas como de gravidade Crítica. |
O detector monitora a execução de ferramentas de reconhecimento conhecidas no ambiente, identificadas por inteligência contra ameaças, o que pode indicar a preparação para atividades mais maliciosas. |
| Execução: Python malicioso executado | MALICIOUS_PYTHON_EXECUTED |
Um modelo de machine learning identificou o código Python especificado como malicioso. Os invasores podem usar o Python para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. As descobertas são classificadas como de gravidade Crítica. |
O detector usa técnicas de PLN para avaliar o conteúdo do código Python executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar Python conhecido e novo. |
| Execução: binário malicioso modificado executado | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Um binário que atende às seguintes condições foi executado:
Se um binário malicioso modificado for executado, isso é um sinal forte de que um invasor tem controle da carga de trabalho e está executando software malicioso. As descobertas são classificadas como de gravidade Crítica. |
O detector procura um binário em execução que foi originalmente incluído na imagem do contêiner, mas modificado durante a execução, e foi identificado como malicioso com base em inteligência de ameaças. |
| Execução: biblioteca maliciosa modificada carregada | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Uma biblioteca que atende às seguintes condições foi carregada:
Se uma biblioteca maliciosa modificada for carregada, isso é um forte sinal de que um invasor tem controle da carga de trabalho e está executando software malicioso. As descobertas são classificadas como de gravidade Crítica. |
O detector procura uma biblioteca carregada que foi originalmente incluída na imagem do contêiner, mas modificada durante a execução, e foi identificada como maliciosa com base em inteligência de ameaças. |
| Execução: execução remota de código do Netcat no contêiner | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
O Netcat, um utilitário de rede versátil, foi executado no ambiente de contêiner, o que pode indicar uma tentativa de estabelecer acesso remoto não autorizado ou exfiltrar dados. O uso do Netcat em um ambiente em contêineres pode indicar uma tentativa de um invasor de criar um shell reverso, permitir o movimento lateral ou executar comandos arbitrários, o que pode comprometer a integridade do sistema. As descobertas são classificadas como de gravidade baixa. |
O detector monitora a execução do Netcat no contêiner, porque o uso dele em ambientes de produção é incomum e pode indicar uma tentativa de burlar controles de segurança ou executar comandos remotos. |
| Execução: possível execução arbitrária de comandos pelo CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Um usuário não raiz executou
Essa regra detecta o processo As descobertas são classificadas como de gravidade Crítica. |
O detector procura qualquer processo shell que seja um processo filho do processo foomatic-rip.
|
| Execução: possível execução de comando remota detectada | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Um processo foi detectado gerando comandos UNIX comuns por uma conexão de soquete de rede, indicando uma possível tentativa de estabelecer recursos de execução de comando remoto não autorizados. Os invasores costumam usar técnicas que imitam shells inversos para ganhar controle interativo sobre um sistema comprometido, permitindo que eles executem comandos arbitrários remotamente e ignorem medidas padrão de segurança de rede, como restrições de firewall. A detecção da execução de comandos em um soquete é um forte indicador de acesso remoto malicioso. As descobertas são classificadas como de gravidade média. |
Esse detector monitora a criação de sockets de rede seguida pela execução de comandos padrão do shell UNIX. Esse padrão sugere uma tentativa de criar um canal secreto para execução de comandos remotos, o que pode permitir outras atividades maliciosas no host comprometido. |
| Execução: execução do programa com o ambiente de proxy HTTP não permitido | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Um programa foi executado com uma variável de ambiente de proxy HTTP que não é permitida. Isso pode indicar uma tentativa de contornar controles de segurança, redirecionar o tráfego para fins maliciosos ou exfiltrar dados por canais não autorizados. Os invasores podem configurar proxies HTTP não permitidos para interceptar informações sensíveis, encaminhar o tráfego por servidores maliciosos ou estabelecer canais de comunicação secretos. Detectar a execução de programas com essas variáveis de ambiente é crucial para manter a segurança da rede e evitar violações de dados. As descobertas são classificadas como de gravidade baixa. |
Esse detector monitora a execução de programas com variáveis de ambiente de proxy HTTP que são especificamente proibidas. O uso desses proxies, principalmente quando inesperado, pode significar atividade maliciosa e exige investigação imediata. |
| Execução: shell reverso do Socat detectado | SOCAT_REVERSE_SHELL_DETECTED |
O comando Essa regra detecta a execução do socat para criar um shell reverso redirecionando os descritores de arquivo stdin, stdout e stderr. Essa é uma técnica comum usada por invasores para conseguir acesso remoto a um sistema comprometido. As descobertas são classificadas como de gravidade média. |
O detector procura qualquer processo shell que seja filho de um processo socat.
|
| Execução: modificação suspeita do Cron (pré-lançamento) | SUSPICIOUS_CRON_MODIFICATION |
Um arquivo de configuração
Modificações em jobs Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
Esse detector monitora arquivos de configuração cron em busca de modificações.
|
| Execução: objeto compartilhado suspeito do OpenSSL carregado | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
O OpenSSL foi executado para carregar um objeto compartilhado personalizado. Os invasores podem carregar bibliotecas personalizadas e substituir as bibliotecas usadas pelo OpenSSL para executar código malicioso. O uso dele em produção é incomum e exige uma investigação imediata. As descobertas são classificadas como de gravidade Crítica. |
Esse detector monitora a execução do comando
openssl engine para carregar arquivos
.so personalizados.
|
| Exfiltração: iniciar ferramentas de cópia de arquivos remotos no contêiner | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
A execução de uma ferramenta de cópia de arquivos remota foi detectada no contêiner, indicando possível exfiltração de dados, movimentação lateral ou a implantação de payloads maliciosos. Os invasores costumam usar essas ferramentas para transferir dados sensíveis para fora do contêiner, se mover lateralmente na rede para comprometer outros sistemas ou introduzir malware para mais atividades maliciosas. Detectar o uso de ferramentas de cópia de arquivos remotos é crucial para evitar violações de dados, acesso não autorizado e mais comprometimento do contêiner e, possivelmente, do sistema host. As descobertas são classificadas como de gravidade baixa. |
Esse detector monitora a execução de ferramentas conhecidas de cópia de arquivos remotos no ambiente de contêiner. A presença deles, principalmente quando inesperada, pode indicar atividade maliciosa. |
| Impacto: detectar Cmdlines maliciosas | DETECT_MALICIOUS_CMDLINES |
Um comando foi executado com argumentos conhecidos por serem potencialmente destrutivos, como tentativas de excluir arquivos críticos do sistema ou modificar configurações relacionadas a senhas. Os invasores podem emitir linhas de comando maliciosas para causar instabilidade no sistema, impedir a recuperação excluindo arquivos essenciais ou conseguir acesso não autorizado manipulando as credenciais do usuário. Detectar esses padrões de comando específicos é fundamental para evitar um impacto significativo no sistema. As descobertas são classificadas como de gravidade Crítica. |
Esse detector monitora a execução de argumentos de linha de comando que correspondem a padrões associados a danos no sistema ou escalonamento de privilégios. A presença desses comandos indica uma possível tentativa ativa de afetar negativamente a disponibilidade ou a segurança do sistema. |
| Impacto: remover dados em massa do disco | REMOVE_BULK_DATA_FROM_DISK |
Um processo foi detectado realizando operações de exclusão de dados em massa, o que pode indicar uma tentativa de apagar evidências, interromper serviços ou executar um ataque de limpeza de dados no ambiente de contêiner. Os invasores podem remover grandes volumes de dados para encobrir seus rastros, sabotar operações ou se preparar para a implantação de ransomware. A detecção dessas atividades ajuda a identificar possíveis ameaças antes que ocorra uma perda de dados críticos. As descobertas são classificadas como de gravidade baixa. |
O detector monitora comandos e processos associados à exclusão de dados em massa ou outras ferramentas de limpeza de dados para identificar atividades suspeitas que possam comprometer a integridade do sistema. |
| Impacto: atividade suspeita de mineração de criptomoedas usando o protocolo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Um processo foi detectado se comunicando pelo protocolo Stratum, que é usado com frequência por softwares de mineração de criptomoedas. Essa atividade sugere possíveis operações de mineração não autorizadas no ambiente de contêiner. Os invasores geralmente implantam mineradores de criptomoedas para explorar recursos do sistema e obter ganhos financeiros, o que leva à degradação do desempenho, aumento dos custos operacionais e possíveis riscos de segurança. A detecção dessas atividades ajuda a reduzir o abuso de recursos e o acesso não autorizado. As descobertas são classificadas como de gravidade Alta. |
Esse detector monitora o uso conhecido do protocolo Stratum no ambiente. Como as cargas de trabalho de contêiner legítimas normalmente não usam o Stratum, a presença dele pode indicar operações de mineração não autorizadas ou um contêiner comprometido. |
| Script malicioso executado | MALICIOUS_SCRIPT_EXECUTED |
Um modelo de machine learning identificou o código Bash especificado como malicioso. Os invasores podem usar o Bash para transferir ferramentas ou outros arquivos de um sistema externo para um ambiente comprometido e executar comandos sem binários. As descobertas são classificadas como de gravidade Crítica. |
O detector usa técnicas de PLN para avaliar o conteúdo do código Bash executado. Como essa abordagem não é baseada em assinaturas, os detectores podem identificar bashs maliciosos conhecidos e novos. |
| URL malicioso observado | MALICIOUS_URL_OBSERVED |
O Container Threat Detection observou um URL malicioso na lista de argumentos de um processo em execução. As descobertas são classificadas como de gravidade média. |
O detector verifica os URLs observados na lista de argumentos de processos em execução em relação às listas de recursos da Web não seguros que são mantidos pelo serviço Navegação segura do Google. Se um URL for classificado incorretamente como phishing ou malware, informe em Como relatar dados incorretos. |
| Persistência: modificar ld.so.preload (pré-lançamento) | MODIFY_LD_SO_PRELOAD |
Uma tentativa foi feita para modificar o arquivo
As mudanças em Esse é um detector de monitoramento de arquivos e tem requisitos específicos de versão do GKE. Esse detector fica desativado por padrão. Para instruções sobre como ativar, consulte Como testar o Container Threat Detection. |
Esse detector monitora tentativas de modificar o arquivo ld.so.preload. |
| Escalonamento de privilégios: abuso de sudo para escalonamento de privilégios (CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
Essa detecção notifica uma tentativa de exploração da CVE-2019-14287,
que permite o escalonamento de privilégios ao abusar do comando sudo.
As versões do As descobertas são classificadas como de gravidade Crítica. |
O detector procura qualquer execução de sudo que tenha argumentos -u#-1 ou -u#4294967295.
|
| Escalonamento de privilégios: execução sem arquivo em /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Um processo foi executado de um caminho em
Ao executar um arquivo de As descobertas são classificadas como de gravidade Alta. |
O detector procura qualquer processo que tenha sido executado em
/dev/shm
|
| Escalonamento de privilégios: vulnerabilidade de escalonamento de privilégios locais do Polkit (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Um usuário não raiz executou
Essa regra detecta uma tentativa de explorar uma vulnerabilidade de escalonamento de privilégios (CVE-2021-4034) no As descobertas são classificadas como de gravidade Crítica. |
O detector procura qualquer execução de pkexec que tenha a variável de ambiente GCONV_PATH definida.
|
| Escalonamento de privilégios: possível escalonamento de privilégios do sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Um usuário não raiz executou
Detecta uma tentativa de explorar uma vulnerabilidade que afeta a versão As descobertas são classificadas como de gravidade Crítica. |
O detector procura qualquer execução de sudo ou sudoedit
que tente usar argumentos identificados como parte da
exploração CVE-2021-4034.
|
| Shell reverso | REVERSE_SHELL |
Um processo começou com o redirecionamento de stream para um soquete conectado remotamente. Com um shell reverso, um invasor pode se comunicar de uma carga de trabalho comprometida para uma máquina controlada por ele. O invasor pode comandar e controlar a carga de trabalho, por exemplo, como parte de uma botnet. As descobertas são classificadas como de gravidade Crítica. |
O detector procura um stdin vinculado a um soquete remoto.
|
| Shell filho inesperado | UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. As descobertas são classificadas como de gravidade Crítica. |
O detector monitora todas as execuções do processo. Quando um shell é invocado, o detector gera uma descoberta se o processo pai normalmente não invoca shells. |
A seguir
- Saiba como usar o Container Threat Detection.
- Saiba como testar o Container Threat Detection.
- Saiba como investigar e desenvolver planos de resposta para ameaças.
- Saiba mais sobre Artifact Analysis e verificação de vulnerabilidades.