Esta página oferece uma vista geral dos conceitos e das funcionalidades da deteção de ameaças de contentores.
O que é a deteção de ameaças de contentores?
A deteção de ameaças de contentores é um serviço integrado do Security Command Center que monitoriza continuamente o estado das imagens de nós do SO otimizado para contentores. O serviço avalia todas as alterações e tentativas de acesso remoto para detetar ataques de tempo de execução em tempo quase real.
A Deteção de ameaças de contentores deteta os ataques de tempo de execução de contentores mais comuns e envia-lhe alertas no Security Command Center e, opcionalmente, no Cloud Logging. A Deteção de ameaças de contentores inclui várias capacidades de deteção, incluindo binários e bibliotecas suspeitos, e usa o processamento de linguagem natural (PLN) para detetar código Bash e Python malicioso.
A Deteção de ameaças de contentores só está disponível com o nível Premium ou o nível Enterprise do Security Command Center.
Como funciona a Deteção de ameaças de contentores
A instrumentação de deteção da Deteção de ameaças de contentores recolhe o comportamento de baixo nível no kernel do convidado e nos scripts executados. Seguem-se os passos de execução quando são detetados eventos:
A Deteção de ameaças de contentores transmite informações de eventos e informações que identificam o contentor através de um DaemonSet no modo de utilizador para um serviço de deteção para análise. A recolha de eventos é configurada automaticamente quando a Deteção de ameaças de contentores está ativada.
O DaemonSet do observador transmite informações do contentor da melhor forma possível. As informações do contentor podem ser omitidas da descoberta comunicada se o Kubernetes e o tempo de execução do contentor não fornecerem as informações do contentor correspondentes a tempo.
O serviço de deteção analisa eventos para determinar se um evento é indicativo de um incidente. Os scripts Bash e Python são analisados com PNL para determinar se o código executado é malicioso.
Se o serviço de deteção identificar um incidente, o incidente é escrito como uma descoberta no Security Command Center e, opcionalmente, no Cloud Logging.
- Se o serviço de deteção não identificar um incidente, as informações de localização não são armazenadas.
- Todos os dados no serviço de kernel e detetor são efémeros e não são armazenados de forma persistente.
Pode ver os detalhes das descobertas na consola do Security Command Center e investigar as informações das descobertas. A sua capacidade de ver e editar resultados é determinada pelas funções que lhe são concedidas. Para mais informações sobre as funções do Security Command Center, consulte o artigo Controlo de acesso.
Considerações
Outras ferramentas de deteção de segurança instaladas no seu cluster podem prejudicar o desempenho da Deteção de ameaças de contentores e fazer com que funcione incorretamente. Recomendamos que não tenha outras ferramentas de deteção de segurança instaladas no cluster se o cluster já estiver protegido pela Deteção de ameaças de contentores.
Considerações sobre a utilização de detetores de monitorização de ficheiros
A Deteção de ameaças de contentores inclui vários detetores que monitorizam as operações de ficheiros à procura de acesso ou modificação de ficheiros críticos do sistema. Estes detetores monitorizam as operações de ficheiros que ocorrem no nó. As cargas de trabalho com E/S de ficheiros significativas, como os sistemas de CI/CD, podem sofrer uma degradação do desempenho quando estes detetores estão ativados. Para evitar impactos inesperados, estes detetores estão desativados por predefinição. A descrição de cada detetor inclui um link para instruções sobre como o ativar. Recomendamos que avalie o impacto em qualquer carga de trabalho antes de ativar os detetores de monitorização de ficheiros na produção.
Detetores de deteção de ameaças de contentores
A Deteção de ameaças de contentores inclui os seguintes detetores:
| Detetor | Módulo | Descrição | Entradas para a deteção |
|---|---|---|---|
| Added Binary Executed | ADDED_BINARY_EXECUTED |
Foi executado um ficheiro binário que não fazia parte da imagem do contentor original. Se um binário adicionado for executado por um atacante, é um possível sinal de que um atacante tem controlo da carga de trabalho e está a executar comandos arbitrários. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte o artigo Testar a deteção de ameaças de contentores. As conclusões são classificadas como gravidade baixa. |
O detetor procura um ficheiro binário em execução que não fazia parte da imagem do contentor original ou que foi modificado a partir da imagem do contentor original. |
| Biblioteca adicionada carregada | ADDED_LIBRARY_LOADED |
Foi carregada uma biblioteca que não fazia parte da imagem do contentor original. Se uma biblioteca adicionada for carregada, é um possível sinal de que um atacante tem controlo da carga de trabalho e está a executar código arbitrário. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte o artigo Testar a deteção de ameaças de contentores. As conclusões são classificadas como gravidade baixa. |
O detetor procura uma biblioteca a ser carregada que não fazia parte da imagem do contentor original ou que foi modificada a partir da imagem do contentor original. |
| Coleção: Pam.d Modification (pré-visualização) | PAM_D_MODIFICATION |
Um dos ficheiros binários ou de configuração no diretório O PAM é amplamente usado para autenticação no Linux. Os atacantes podem modificar os ficheiros binários ou de configuração para estabelecer acesso persistente. Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
Este detetor monitoriza as modificações dos ficheiros da biblioteca partilhada PAM e dos ficheiros de configuração de autorização relacionados. |
| Comando e controlo: ferramenta de esteganografia detetada | STEGANOGRAPHY_TOOL_DETECTED |
Foi executado um programa identificado como uma ferramenta de esteganografia, que se encontra frequentemente em ambientes semelhantes ao Unix, o que indica uma potencial tentativa de ocultar a comunicação ou a transferência de dados. Os atacantes podem usar técnicas esteganográficas para incorporar instruções de comando e controlo (C2) maliciosas ou dados exfiltrados em ficheiros digitais aparentemente benignos, com o objetivo de evitar a monitorização e a deteção de segurança padrão. A identificação da utilização destas ferramentas é crucial para descobrir atividade maliciosa oculta. As conclusões são classificadas como de gravidade Crítica. |
Este detetor monitoriza a execução de ferramentas de esteganografia conhecidas. A presença destas ferramentas sugere um esforço deliberado para ocultar o tráfego de rede ou roubar dados, estabelecendo potencialmente canais de comunicação secretos para fins maliciosos. |
| Acesso a credenciais: aceda a ficheiros confidenciais em nós (pré-visualização) | ACCESS_SENSITIVE_FILES_ON_NODES |
Foi executado um programa que acedeu a Os atacantes podem aceder a ficheiros de autorização para copiar hashes de palavras-passe. Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
O detetor procura acessos a ficheiros de sistema confidenciais, como ficheiros /etc/shadow e SSH authorized_keys.
|
| Acesso a credenciais: encontrar Google Cloud credenciais | FIND_GCP_CREDENTIALS |
Foi executado um comando para pesquisar Google Cloud chaves privadas, palavras-passe ou outras credenciais confidenciais no ambiente do contentor. Um atacante pode usar credenciais roubadas Google Cloud para obter acesso ilegítimo a dados ou recursos confidenciais no ambiente Google Cloud alvo. As conclusões são classificadas como gravidade baixa. Este detetor está desativado por predefinição. Por predefinição, as conclusões são classificadas como gravidade Baixa. Para ver instruções sobre como ativá-lo, consulte o artigo Testar a deteção de ameaças de contentores. |
Esta deteção monitoriza comandos find ou grep
que estão a tentar localizar ficheiros que contêm Google Cloud
credenciais.
|
| Acesso a credenciais: reconhecimento de chaves GPG | GPG_KEY_RECONNAISSANCE |
Foi executado um comando para pesquisar chaves de segurança GPG. Um atacante pode usar chaves de segurança GPG roubadas para obter acesso não autorizado a comunicações ou ficheiros encriptados. As conclusões são classificadas como de gravidade Crítica. |
Este detetor monitoriza comandos find ou grep que estão a tentar localizar chaves de segurança GPG.
|
| Acesso a credenciais: pesquisar chaves privadas ou palavras-passe | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Foi executado um comando para pesquisar chaves privadas, palavras-passe ou outras credenciais confidenciais no ambiente do contentor, o que indica uma potencial tentativa de recolher dados de autenticação. Os atacantes procuram frequentemente ficheiros de credenciais para obter acesso não autorizado aos sistemas, aumentar os privilégios ou mover-se lateralmente no ambiente. A deteção desta atividade é fundamental para evitar violações de segurança. As conclusões são classificadas como gravidade baixa. |
Este detetor monitoriza comandos conhecidos usados para localizar chaves privadas, palavras-passe ou ficheiros de credenciais. A presença de tais pesquisas num ambiente em contentores pode sugerir esforços de reconhecimento ou uma comprometimento ativo. |
| Evasão de defesa: linha de comandos de ficheiro ELF Base64 | BASE64_ELF_FILE_CMDLINE |
Foi executado um processo que contém um argumento que é um ficheiro ELF (formato executável e de ligação). Se for detetada uma execução de ficheiro ELF codificado, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num ficheiro ELF. As conclusões são classificadas como gravidade média. |
Esta deteção monitoriza argumentos de processos que contêm ELF
e estão codificados em base64.
|
| Defense Evasion: Base64 Encoded Python Script Executed | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Foi executado um processo que contém um argumento que é um script Python codificado em base64. Se for detetada uma execução de script Python codificado, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num script Python. As conclusões são classificadas como gravidade média. |
Esta deteção monitoriza argumentos de processos que contêm
várias formas de python -c e estão codificados em base64.
|
| Defense Evasion: Base64 Encoded Shell Script Executed | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Foi executado um processo que contém um argumento que é um script de shell codificado em base64. Se for detetada uma execução de script de shell codificada, é um sinal de que um atacante está a tentar codificar dados binários para transferência para linhas de comandos apenas ASCII. Os atacantes podem usar esta técnica para evitar a deteção e executar código malicioso incorporado num script de shell. As conclusões são classificadas como gravidade média. |
Esta deteção monitoriza os argumentos do processo para encontrar todos os que contêm várias formas de comando de shell codificado em base64. |
| Defense Evasion: Disable or Modify Linux Audit System (Preview) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Um dos ficheiros de registo ou de configuração do sistema de auditoria foi modificado. Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
Este detetor monitoriza as modificações às configurações de registo,
como alterações a ficheiros de configuração ou comandos específicos,
bem como a desativação de serviços de registo, como o
journalctl ou o auditctl.
|
| Defense Evasion: Launch Code Compiler Tool In Container | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Foi iniciado um processo para lançar uma ferramenta de compilação de código no ambiente do contentor, o que indica uma potencial tentativa de criar ou modificar código executável num contexto isolado. Os atacantes podem usar compiladores de código em contentores para desenvolver payloads maliciosos, injetar código em ficheiros binários existentes ou criar ferramentas para contornar os controlos de segurança, tudo isto enquanto operam num ambiente menos analisado para evitar a deteção no sistema anfitrião. As conclusões são classificadas como gravidade baixa. |
Este detetor monitoriza a execução de ferramentas de compilação de código conhecidas em contentores. A presença desta atividade sugere um potencial esforço para realizar o desenvolvimento ou a modificação de código malicioso no contentor, possivelmente como uma tática de evasão de defesa para adulterar os componentes do sistema ou o software cliente. |
| Evasão de defesa: certificado de raiz instalado (pré-visualização) | ROOT_CERTIFICATE_INSTALLED |
Foi instalado um certificado de raiz no nó. Os adversários podem instalar um certificado de raiz para evitar alertas de segurança quando estabelecem ligações aos respetivos servidores Web maliciosos. Os atacantes podem realizar ataques do tipo man-in-the-middle, intercetando dados confidenciais trocados entre a vítima e os servidores do adversário, sem acionar avisos. Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
Este detetor monitoriza as modificações ao ficheiro do certificado de raiz. |
| Execução: Added Malicious Binary Executed | ADDED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso adicionado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura um ficheiro binário em execução que não fazia parte da imagem do contentor original e que foi identificado como malicioso com base em informações sobre ameaças. |
| Execução: Added Malicious Library Loaded | ADDED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa adicionada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura uma biblioteca a ser carregada que não fazia parte da imagem do contentor original e que foi identificada como maliciosa com base em informações sobre ameaças. |
| Execução: binário malicioso incorporado executado | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um ficheiro binário malicioso incorporado, é um sinal de que o atacante está a implementar contentores maliciosos. Podem ter obtido o controlo de um repositório de imagens ou de um pipeline de compilação de contentores legítimo e injetado um ficheiro binário malicioso na imagem do contentor. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura um ficheiro binário a ser executado que foi incluído na imagem do contentor original e foi identificado como malicioso com base em informações sobre ameaças. |
| Execução: fuga do contentor | CONTAINER_ESCAPE |
Foi executado um processo no contentor que tentou sair do isolamento do contentor, o que pode dar ao atacante acesso ao sistema anfitrião. Se for detetada uma tentativa de fuga do contentor, pode indicar que um atacante está a explorar vulnerabilidades para sair do contentor. Como resultado, o atacante pode obter acesso não autorizado ao sistema de anfitrião ou à infraestrutura mais ampla, comprometendo todo o ambiente. As conclusões são classificadas como de gravidade Crítica. |
O detetor monitoriza processos que tentam explorar limites de contentores que usam técnicas de fuga ou ficheiros binários conhecidos. Estes processos são sinalizados pela inteligência contra ameaças como potenciais ataques que têm como alvo o sistema anfitrião subjacente. |
| Execução: execução sem ficheiros em /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Foi executado um processo com um descritor de ficheiro na memória. Se um processo for iniciado a partir de um ficheiro na memória, pode indicar que um atacante está a tentar contornar outros métodos de deteção para executar código malicioso. As conclusões são classificadas como gravidade Alta. |
O detetor monitoriza os processos que são executados a partir de
/memfd:.
|
| Execução: execução da vulnerabilidade Ingress Nightmare (pré-visualização) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
A execução de CVE-2025-1974
pode ser detetada através da monitorização de execuções do Nginx com argumentos que
incluem referências ao sistema de ficheiros
Esta classe de vulnerabilidades pode permitir que intervenientes maliciosos executem código arbitrário no controlador As conclusões são classificadas como gravidade média. |
Este detetor monitoriza o contentor ingress-nginx para execuções do Nginx que tenham argumentos que incluam referências ao sistema de ficheiros /proc, o que indica uma potencial execução de código remoto.
|
| Execução: execução da ferramenta de ataque do Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Foi executada uma ferramenta de ataque específica do Kubernetes no ambiente, o que pode indicar que um atacante está a segmentar componentes do cluster do Kubernetes. Se uma ferramenta de ataque for executada no ambiente do Kubernetes, isto pode sugerir que um atacante obteve acesso ao cluster e está a usar a ferramenta para explorar vulnerabilidades ou configurações específicas do Kubernetes. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura ferramentas de ataque do Kubernetes que estão a ser executadas e são identificadas como potenciais ameaças com base em dados de inteligência. O detetor aciona alertas para mitigar potenciais comprometimentos no cluster. |
| Execução: execução da ferramenta de reconhecimento local | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Foi executada uma ferramenta de reconhecimento local normalmente não associada ao contentor ou ao ambiente, o que sugere uma tentativa de recolher informações internas do sistema. Se for executada uma ferramenta de reconhecimento, sugere que o atacante pode estar a tentar mapear a infraestrutura, identificar vulnerabilidades ou recolher dados sobre as configurações do sistema para planear os passos seguintes. As conclusões são classificadas como de gravidade Crítica. |
O detetor monitoriza a execução de ferramentas de reconhecimento conhecidas no ambiente, identificadas através de informações sobre ameaças, o que pode indicar a preparação para atividades mais maliciosas. |
| Execução: Python malicioso executado | MALICIOUS_PYTHON_EXECUTED |
Um modelo de aprendizagem automática identificou o código Python especificado como malicioso. Os atacantes podem usar o Python para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. As conclusões são classificadas como de gravidade Crítica. |
O detetor usa técnicas de PNL para avaliar o conteúdo do código Python executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar Python conhecido e novo. |
| Execução: ficheiro binário malicioso modificado executado | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Foi executado um ficheiro binário que cumpre as seguintes condições:
Se for executado um binário malicioso modificado, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura um ficheiro binário em execução que foi originalmente incluído na imagem do contentor, mas que foi modificado durante o tempo de execução e identificado como malicioso com base em informações sobre ameaças. |
| Execução: biblioteca maliciosa modificada carregada | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Foi carregada uma biblioteca que cumpre as seguintes condições:
Se for carregada uma biblioteca maliciosa modificada, é um forte sinal de que um atacante tem controlo da carga de trabalho e está a executar software malicioso. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura uma biblioteca a ser carregada que foi originalmente incluída na imagem do contentor, mas que foi modificada durante a execução e identificada como maliciosa com base em informações sobre ameaças. |
| Execução: execução remota de código do Netcat no contentor | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
O Netcat, uma utilidade de rede versátil, foi executado no ambiente do contentor, o que pode indicar uma tentativa de estabelecer acesso remoto não autorizado ou exfiltrar dados. A utilização do Netcat num ambiente em contentores pode sinalizar um esforço do atacante para criar um shell inverso, permitir o movimento lateral ou executar comandos arbitrários, o que pode comprometer a integridade do sistema. As conclusões são classificadas como gravidade baixa. |
O detetor monitoriza a execução do Netcat no contentor, porque a sua utilização em ambientes de produção é invulgar e pode indicar uma tentativa de contornar os controlos de segurança ou executar comandos remotos. |
| Execução: possível execução de comandos arbitrários através do CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Um utilizador não root executou
Esta regra deteta o processo As conclusões são classificadas como de gravidade Crítica. |
O detetor procura qualquer processo shell que seja um processo secundário do processo foomatic-rip.
|
| Execução: possível execução de comando remoto detetada | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Foi detetado um processo que gera comandos UNIX comuns através de uma ligação de soquete de rede, o que indica uma potencial tentativa de estabelecer capacidades de execução de comandos remotos não autorizadas. Os atacantes usam frequentemente técnicas que imitam shells inversos para obter controlo interativo sobre um sistema comprometido, o que lhes permite executar comandos arbitrários remotamente e ignorar medidas de segurança de rede padrão, como restrições de firewall. A deteção da execução de comandos através de um soquete é um forte indicador de acesso remoto malicioso. As conclusões são classificadas como gravidade média. |
Este detetor monitoriza a criação de sockets de rede, seguida da execução de comandos de shell UNIX padrão. Este padrão sugere uma tentativa de criar um canal secreto para a execução de comandos remotos, o que pode permitir mais atividades maliciosas no anfitrião comprometido. |
| Execution: Program Run with Disallowed HTTP Proxy Env | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Foi executado um programa com uma variável de ambiente de proxy HTTP que não é permitida. Isto pode indicar uma tentativa de contornar os controlos de segurança, redirecionar o tráfego para fins maliciosos ou exfiltrar dados através de canais não autorizados. Os atacantes podem configurar proxies HTTP não permitidos para intercetar informações confidenciais, encaminhar o tráfego através de servidores maliciosos ou estabelecer canais de comunicação secretos. A deteção da execução de programas com estas variáveis de ambiente é crucial para manter a segurança da rede e evitar violações de dados. As conclusões são classificadas como gravidade baixa. |
Este detetor monitoriza a execução de programas com variáveis de ambiente de proxy HTTP que são especificamente proibidas. A utilização destes proxies, particularmente quando inesperada, pode significar atividade maliciosa e justifica uma investigação imediata. |
| Execução: Socat Reverse Shell Detected | SOCAT_REVERSE_SHELL_DETECTED |
O comando Esta regra deteta a execução do socat para criar um shell inverso através do redirecionamento dos descritores de ficheiros stdin, stdout e stderr. Esta é uma técnica comum usada por atacantes para obter acesso remoto a um sistema comprometido. As conclusões são classificadas como gravidade média. |
O detetor procura qualquer processo shell que seja o processo secundário de um processo socat.
|
| Execução: modificação suspeita do Cron (pré-visualização) | SUSPICIOUS_CRON_MODIFICATION |
Um ficheiro de configuração do
As modificações a tarefas Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
Este detetor monitoriza os ficheiros de configuração do cron para
detetar modificações.
|
| Execução: objeto partilhado OpenSSL suspeito carregado | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
O OpenSSL foi executado para carregar um objeto partilhado personalizado. Os atacantes podem carregar bibliotecas personalizadas e substituir as bibliotecas existentes usadas pelo OpenSSL para executar código malicioso. A sua utilização em produção é invulgar e deve justificar uma investigação imediata. As conclusões são classificadas como de gravidade Crítica. |
Este detetor monitoriza a execução do comando
openssl engine para carregar ficheiros
.so personalizados.
|
| Exfiltração: inicie ferramentas de cópia de ficheiros remotos no contentor | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Foi detetada uma execução de ferramenta de cópia de ficheiros remota no contentor, o que indica uma potencial exfiltração de dados, movimento lateral ou a implementação de payloads maliciosos. Os atacantes usam frequentemente estas ferramentas para transferir dados confidenciais para fora do contentor, mover-se lateralmente na rede para comprometer outros sistemas ou introduzir software malicioso para atividades maliciosas adicionais. A deteção da utilização de ferramentas de cópia de ficheiros remotos é crucial para evitar violações de dados, acesso não autorizado e comprometer ainda mais o contentor e, potencialmente, o sistema anfitrião. As conclusões são classificadas como gravidade baixa. |
Este detetor monitoriza a execução de ferramentas de cópia de ficheiros remotos conhecidas no ambiente do contentor. A sua presença, especialmente quando inesperada, pode indicar atividade maliciosa. |
| Impacto: detetar linhas de comandos maliciosas | DETECT_MALICIOUS_CMDLINES |
Foi executado um comando com argumentos conhecidos por serem potencialmente destrutivos, como tentativas de eliminar ficheiros críticos do sistema ou modificar configurações relacionadas com palavras-passe. Os atacantes podem emitir linhas de comandos maliciosas para causar instabilidade no sistema, impedir a recuperação eliminando ficheiros essenciais ou obter acesso não autorizado manipulando as credenciais do utilizador. A deteção destes padrões de comandos específicos é fundamental para evitar um impacto significativo no sistema. As conclusões são classificadas como de gravidade Crítica. |
Este detetor monitoriza a execução de argumentos de linha de comandos que correspondem a padrões associados a danos no sistema ou escalada de privilégios. A presença destes comandos indica uma potencial tentativa ativa de afetar negativamente a disponibilidade ou a segurança do sistema. |
| Impacto: remover dados em massa do disco | REMOVE_BULK_DATA_FROM_DISK |
Foi detetado um processo que executa operações de eliminação de dados em massa, o que pode indicar uma tentativa de apagar provas, interromper serviços ou executar um ataque de limpeza de dados no ambiente do contentor. Os atacantes podem remover grandes volumes de dados para encobrir os seus rastos, sabotar operações ou preparar a implementação de ransomware. A deteção dessa atividade ajuda a identificar potenciais ameaças antes que ocorra uma perda de dados críticos. As conclusões são classificadas como gravidade baixa. |
O detetor monitoriza comandos e processos associados à eliminação de dados em massa ou outras ferramentas de limpeza de dados para identificar atividade suspeita que possa comprometer a integridade do sistema. |
| Impacto: atividade de mineração de criptomoedas suspeita através do protocolo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Foi detetado um processo a comunicar através do protocolo Stratum, que é usado frequentemente por software de mineração de criptomoedas. Esta atividade sugere potenciais operações de mineração não autorizadas no ambiente do contentor. Os atacantes implementam frequentemente mineiros de criptomoedas para explorar os recursos do sistema com vista a obter ganhos financeiros, o que leva a um desempenho degradado, a um aumento dos custos operacionais e a potenciais riscos de segurança. A deteção desta atividade ajuda a mitigar o abuso de recursos e o acesso não autorizado. As conclusões são classificadas como gravidade Alta. |
Este detetor monitoriza a utilização conhecida do protocolo Stratum no ambiente. Uma vez que as cargas de trabalho de contentores legítimas normalmente não usam o Stratum, a respetiva presença pode indicar operações de mineração não autorizadas ou um contentor comprometido. |
| Script malicioso executado | MALICIOUS_SCRIPT_EXECUTED |
Um modelo de aprendizagem automática identificou o código Bash especificado como malicioso. Os atacantes podem usar o Bash para transferir ferramentas ou outros ficheiros de um sistema externo para um ambiente comprometido e executar comandos sem ficheiros binários. As conclusões são classificadas como de gravidade Crítica. |
O detetor usa técnicas de PNL para avaliar o conteúdo do código Bash executado. Uma vez que esta abordagem não se baseia em assinaturas, os detetores podem identificar bash malicioso conhecido e novo. |
| URL malicioso observado | MALICIOUS_URL_OBSERVED |
A Deteção de ameaças de contentores observou um URL malicioso na lista de argumentos de um processo em execução. As conclusões são classificadas como gravidade média. |
O detetor verifica os URLs observados na lista de argumentos dos processos em execução relativamente às listas de recursos Web não seguros mantidas pelo serviço de Navegação Segura da Google. Se um URL for classificado incorretamente como phishing ou software malicioso, denuncie-o em Denunciar dados incorretos. |
| Persistência: modifique ld.so.preload (pré-visualização) | MODIFY_LD_SO_PRELOAD |
Foi feita uma tentativa de modificar o ficheiro
As alterações ao Este é um detetor de monitorização de ficheiros e tem requisitos específicos da versão do GKE. Este detetor está desativado por predefinição. Para ver instruções sobre como ativá-lo, consulte Testar a deteção de ameaças de contentores. |
Este detetor monitoriza as tentativas de modificar o ficheiro ld.so.preload. |
| Escalamento de privilégios: abuso de sudo para escalamento de privilégios (CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
Esta deteção notifica uma tentativa de exploração de CVE-2019-14287,
que permite a escalada de privilégios através do abuso do comando sudo.
As versões As conclusões são classificadas como de gravidade Crítica. |
O detetor procura qualquer execução de sudo que tenha argumentos -u#-1 ou -u#4294967295.
|
| Escalamento de privilégios: execução sem ficheiros em /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Foi executado um processo a partir de um caminho em
Ao executar um ficheiro a partir de As conclusões são classificadas como gravidade Alta. |
O detetor procura qualquer processo que tenha sido executado a partir de
/dev/shm
|
| Escalamento de privilégios: vulnerabilidade de escalamento de privilégios locais do Polkit (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Um utilizador não root executou
Esta regra deteta uma tentativa de explorar uma vulnerabilidade de escalamento de privilégios (CVE-2021-4034) no As conclusões são classificadas como de gravidade Crítica. |
O detetor procura qualquer execução de pkexec que tenha a variável de ambiente GCONV_PATH definida.
|
| Escalamento de privilégios: potencial escalamento de privilégios do Sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Um utilizador não raiz executou
Deteta uma tentativa de exploração de uma vulnerabilidade que afeta a versão As conclusões são classificadas como de gravidade Crítica. |
O detetor procura qualquer execução sudo ou sudoedit que tente usar argumentos identificados como parte da exploração CVE-2021-4034.
|
| Reverse Shell | REVERSE_SHELL |
Um processo iniciado com o redirecionamento de streams para um soquete ligado remotamente. Com um shell inverso, um atacante pode comunicar a partir de uma carga de trabalho comprometida para uma máquina controlada pelo atacante. Em seguida, o atacante pode dar comandos e controlar a carga de trabalho, por exemplo, como parte de uma botnet. As conclusões são classificadas como de gravidade Crítica. |
O detetor procura stdin associado a uma tomada remota.
|
| Unexpected Child Shell | UNEXPECTED_CHILD_SHELL |
Um processo que normalmente não invoca shells gerou um processo de shell. As conclusões são classificadas como de gravidade Crítica. |
O detetor monitoriza todas as execuções de processos. Quando é invocado um shell, o detetor gera uma descoberta se o processo principal for conhecido por não invocar normalmente shells. |
O que se segue?
- Saiba mais sobre a utilização da deteção de ameaças de contentores.
- Saiba mais sobre os testes de deteção de ameaças de contentores.
- Saiba como investigar e desenvolver planos de resposta para ameaças.
- Saiba mais sobre a análise de artefactos e a análise de vulnerabilidades.