En esta página, se proporciona una descripción general de alto nivel de los conceptos y las características de Container Threat Detection.
¿Qué es Container Threat Detection?
Container Threat Detection es un servicio integrado de Security Command Center que supervisa de forma continua el estado de las imágenes de nodo de Container-Optimized OS. El servicio evalúa todos los cambios y los intentos de acceso remoto para detectar ataques de entorno de ejecución casi en tiempo real.
Container Threat Detection detecta los ataques más comunes en el entorno de ejecución del contenedor y te alerta en el Security Command Center y, de forma opcional, en Cloud Logging. Container Threat Detection incluye varias funciones de detección, como objetos binarios y bibliotecas sospechosos, y usa el procesamiento de lenguaje natural (PLN) para detectar código malicioso de Bash y Python.
La Detección de amenazas a contenedores solo está disponible en el nivel Premium o Enterprise de Security Command Center.
Cómo funciona la Detección de amenazas a contenedores
La instrumentación de detección de Container Threat Detection recopila el comportamiento de bajo nivel en el kernel invitado y las secuencias de comandos ejecutadas. A continuación, se muestra la ruta de ejecución cuando se detectan eventos:
La detección de amenazas a contenedores pasa la información de eventos y la información que identifica el contenedor a través de un DaemonSet en modo de usuario a un servicio de detector para su análisis. La recopilación de eventos se configura automáticamente cuando se habilita la detección de amenazas a contenedores.
El DaemonSet de observador pasa la información del contenedor de la mejor manera posible. La información del contenedor se puede omitir del hallazgo informado si Kubernetes y el tiempo de ejecución del contenedor no entregan la información del contenedor correspondiente a tiempo.
El servicio de detector analiza eventos para determinar si un evento indica que se produjo un incidente. Las secuencias de comandos de Bash y Python se analizan con PNL para determinar si el código ejecutado es malicioso.
Si el servicio de detector identifica un incidente, el incidente se escribe como un resultado en Security Command Center y, de forma opcional, en Cloud Logging.
- Si el servicio de detector no identifica un incidente, no se almacena información de búsqueda.
- Todos los datos en el servicio de kernel y el detector son efímeros y no se almacenan de forma persistente.
Puedes ver los detalles de los resultados en la consola de Security Command Center y, luego, investigar la información de búsqueda. La capacidad para ver y editar resultados se determina según las funciones que se te otorgan. Para obtener más información sobre los roles de Security Command Center, consulta Control de acceso.
Consideraciones
Otras herramientas de detección de seguridad instaladas en tu clúster pueden afectar el rendimiento de Container Threat Detection y provocar que funcione mal. Te recomendamos que no instales ninguna otra herramienta de detección de seguridad en tu clúster si este ya está protegido por la Detección de amenazas en contenedores.
Consideraciones para usar detectores de supervisión de archivos
Container Threat Detection incluye varios detectores que supervisan las operaciones de archivos en busca de acceso o modificación de archivos críticos del sistema. Estos detectores supervisan las operaciones de archivos que se producen en el nodo. Las cargas de trabajo con E/S de archivos significativas, como los sistemas de CI/CD, podrían sufrir una degradación del rendimiento cuando se habilitan estos detectores. Para evitar cualquier impacto inesperado, estos detectores están inhabilitados de forma predeterminada. La descripción de cada detector incluye un vínculo a las instrucciones para habilitarlo. Se recomienda evaluar el impacto en cualquier carga de trabajo antes de habilitar los detectores de supervisión de archivos en producción.
Detectores de detección de amenazas de contenedores
La detección de amenazas a contenedores incluye los siguientes detectores:
| Detector | Módulo | Descripción | Entradas para la detección |
|---|---|---|---|
| Se ejecutó el objeto binario agregado | ADDED_BINARY_EXECUTED |
Se ejecutó un objeto binario que no era parte de la imagen del contenedor original. Si un atacante ejecuta un objeto binario agregado, es posible que tenga el control de la carga de trabajo y ejecute comandos arbitrarios. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Prueba la detección de amenazas a contenedores. Los resultados se clasifican como gravedad Baja. |
El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original o se modificó a partir de la imagen del contenedor original. |
| Se cargó la biblioteca agregada | ADDED_LIBRARY_LOADED |
Se cargó una biblioteca que no formaba parte de la imagen del contenedor original. Si se carga una biblioteca agregada, es posible que un atacante tenga el control de la carga de trabajo y ejecute un código arbitrario. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Prueba la detección de amenazas a contenedores. Los resultados se clasifican como gravedad Baja. |
El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, o que se modificó a partir de la imagen del contenedor original. |
| Colección: Modificación de Pam.d (vista previa) | PAM_D_MODIFICATION |
Se modificó uno de los archivos binarios o de configuración en el directorio PAM se usa ampliamente para la autenticación en Linux. Los atacantes pueden modificar los archivos binarios o de configuración para establecer un acceso persistente. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
Este detector supervisa las modificaciones de los archivos de biblioteca compartida de PAM y los archivos de configuración de autorización relacionados. |
| Comando y control: Se detectó una herramienta de esteganografía | STEGANOGRAPHY_TOOL_DETECTED |
Se ejecutó un programa que se identifica como una herramienta de esteganografía que se encuentra comúnmente en entornos similares a Unix, lo que indica un posible intento de ocultar la comunicación o la transferencia de datos. Los atacantes pueden utilizar técnicas esteganográficas para incorporar instrucciones maliciosas de comando y control (C2) o datos filtrados en archivos digitales aparentemente benignos, con el objetivo de evadir la supervisión y la detección de seguridad estándar. Identificar el uso de estas herramientas es fundamental para descubrir actividades maliciosas ocultas. Los hallazgos se clasifican como de gravedad Crítica. |
Este detector supervisa la ejecución de herramientas de esteganografía conocidas. La presencia de estas herramientas sugiere un esfuerzo deliberado por ofuscar el tráfico de red o filtrar datos, lo que podría establecer canales de comunicación encubiertos con fines maliciosos. |
| Acceso a las credenciales: Acceso a archivos sensibles en nodos (vista previa) | ACCESS_SENSITIVE_FILES_ON_NODES |
Se ejecutó un programa que accedió a Los atacantes pueden acceder a los archivos de autorización para copiar los hashes de contraseñas. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
El detector busca accesos a archivos sensibles del sistema, como archivos /etc/shadow y authorized_keys de SSH.
|
| Acceso a credenciales: Buscar Google Cloud credenciales | FIND_GCP_CREDENTIALS |
Se ejecutó un comando para buscar Google Cloud claves privadas, contraseñas o cualquier otra credencial sensible en el entorno del contenedor. Un atacante podría usar credenciales Google Cloud robadas para obtener acceso ilegítimo a datos o recursos sensibles dentro del entorno Google Cloud objetivo. Los resultados se clasifican como gravedad Baja. Este detector está inhabilitado de forma predeterminada. De forma predeterminada, los resultados se clasifican como de gravedad Baja. Para obtener instrucciones sobre cómo habilitarlo, consulta Prueba la detección de amenazas a contenedores. |
Esta detección supervisa los comandos find o grep que intentan ubicar archivos que contienen credenciales de Google Cloud.
|
| Acceso a credenciales: Reconocimiento de claves GPG | GPG_KEY_RECONNAISSANCE |
Se ejecutó un comando para buscar llaves de seguridad GPG. Un atacante podría usar llaves de seguridad GPG robadas para obtener acceso no autorizado a comunicaciones o archivos encriptados. Los hallazgos se clasifican como de gravedad Crítica. |
Este detector supervisa los comandos find o grep que intentan ubicar llaves de seguridad GPG.
|
| Acceso a las credenciales: Buscar claves privadas o contraseñas | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Se ejecutó un comando para buscar claves privadas, contraseñas o otras credenciales sensibles en el entorno del contenedor, lo que indica un posible intento de recopilación de datos de autenticación. Los atacantes suelen buscar archivos de credenciales para obtener acceso no autorizado a los sistemas, aumentar privilegios o moverse lateralmente dentro del entorno. Detectar este tipo de actividad es fundamental para evitar las violaciones de la seguridad. Los resultados se clasifican como gravedad Baja. |
Este detector supervisa los comandos conocidos que se usan para ubicar claves privadas, contraseñas o archivos de credenciales. La presencia de estas búsquedas en un entorno de contenedores puede sugerir esfuerzos de reconocimiento o un compromiso activo. |
| Evasión de defensa: Línea de comandos de archivo ELF en Base64 | BASE64_ELF_FILE_CMDLINE |
Se ejecutó un proceso que contiene un argumento que es un archivo ELF (formato ejecutable y vinculable). Si se detecta la ejecución de un archivo ELF codificado, es una señal de que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos solo en ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en un archivo ELF. Los resultados se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso que contienen ELF y están codificados en base64.
|
| Evasión de defensa: Se ejecutó la secuencia de comandos de Python codificada en Base64 | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Se ejecutó un proceso que contiene un argumento que es una secuencia de comandos de Python codificada en Base64. Si se detecta la ejecución de una secuencia de comandos de Python codificada, es una señal de que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos solo en ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en una secuencia de comandos de Python. Los resultados se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso que contienen varias formas de python -c y están codificados en Base64.
|
| Evasión de defensa: Se ejecutó la secuencia de comandos de shell codificada en Base64 | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Se ejecutó un proceso que contiene un argumento que es una secuencia de comandos de shell codificada en Base64. Si se detecta la ejecución de una secuencia de comandos de shell codificada, es una señal de que un atacante está intentando codificar datos binarios para transferirlos a líneas de comandos solo en ASCII. Los atacantes pueden usar esta técnica para evadir la detección y ejecutar código malicioso incorporado en un secuencia de comandos de shell. Los resultados se clasifican como de gravedad Media. |
Esta detección supervisa los argumentos del proceso para encontrar cualquiera que contenga varias formas de comandos de shell codificados en base64. |
| Defense Evasion: Inhabilita o modifica el sistema de auditoría de Linux (vista previa) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Se modificó uno de los archivos de registro o de configuración del sistema de auditoría. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
Este detector supervisa las modificaciones en las configuraciones de registro, como los cambios en los archivos de configuración o los comandos específicos, así como la inhabilitación de los servicios de registro, como journalctl o auditctl.
|
| Evasión de defensa: Inicia la herramienta de compilador de código en el contenedor | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Se inició un proceso para ejecutar una herramienta de compilador de código dentro del entorno del contenedor, lo que indica un posible intento de compilar o modificar código ejecutable en un contexto aislado. Los atacantes pueden usar compiladores de código dentro de contenedores para desarrollar cargas útiles maliciosas, inyectar código en archivos binarios existentes o crear herramientas para omitir los controles de seguridad, todo mientras operan en un entorno menos analizado para evadir la detección en el sistema host. Los resultados se clasifican como gravedad Baja. |
Este detector supervisa la ejecución de herramientas de compilación de código conocidas dentro de los contenedores. La presencia de este tipo de actividad sugiere un posible intento de desarrollar o modificar código malicioso dentro del contenedor, posiblemente como una táctica de evasión de defensas para manipular los componentes del sistema o el software del cliente. |
| Defense Evasion: Se instaló el certificado raíz (vista previa) | ROOT_CERTIFICATE_INSTALLED |
Se instaló un certificado raíz en el nodo. Los adversarios pueden instalar un certificado raíz para evitar alertas de seguridad cuando establecen conexiones con sus servidores web maliciosos. Los atacantes podrían llevar a cabo ataques de intermediario, interceptando datos sensibles intercambiados entre la víctima y los servidores del adversario, sin activar ninguna advertencia. Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
Este detector supervisa las modificaciones en el archivo del certificado raíz. |
| Ejecución: Se ejecutó el objeto binario malicioso agregado | ADDED_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso agregado, es un indicio claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca un objeto binario en ejecución que no formaba parte de la imagen del contenedor original y que se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Se cargó la biblioteca maliciosa agregada | ADDED_MALICIOUS_LIBRARY_LOADED |
Se cargó una biblioteca que cumple con las siguientes condiciones:
Si se carga una biblioteca maliciosa agregada, es un indicio claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca una biblioteca que se carga y que no formaba parte de la imagen del contenedor original, y que se identificó como maliciosa según la inteligencia sobre amenazas. |
| Ejecución: Se ejecutó el objeto binario malicioso integrado | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso integrado, es señal de que el atacante está implementando contenedores maliciosos. Es posible que hayan obtenido el control de un repositorio de imágenes o una canalización de compilación de contenedores legítimos y hayan inyectado un archivo binario malicioso en la imagen del contenedor. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca un objeto binario en ejecución que se incluyó en la imagen del contenedor original y se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Escape del contenedor | CONTAINER_ESCAPE |
Se ejecutó un proceso dentro del contenedor que intentó salir del aislamiento del contenedor, lo que podría darle al atacante acceso al sistema host. Si se detecta un intento de escape del contenedor, es posible que un atacante esté aprovechando vulnerabilidades para salir del contenedor. Como resultado, el atacante podría obtener acceso no autorizado al sistema host o a una infraestructura más amplia, lo que comprometería todo el entorno. Los hallazgos se clasifican como de gravedad Crítica. |
El detector supervisa los procesos que intentan aprovechar los límites del contenedor con técnicas o archivos binarios de escape conocidos. Estos procesos se marcan en la inteligencia sobre amenazas como posibles ataques dirigidos al sistema host subyacente. |
| Ejecución: Ejecución sin archivos en /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Se ejecutó un proceso con un descriptor de archivo en la memoria. Si se inicia un proceso desde un archivo en la memoria, puede indicar que un atacante está intentando eludir otros métodos de detección para ejecutar código malicioso. Los resultados se clasifican como gravedad Alta. |
El detector supervisa los procesos que se ejecutan desde /memfd:.
|
| Ejecución: Ejecución de vulnerabilidad de Ingress Nightmare (versión preliminar) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
La ejecución de CVE-2025-1974 se puede detectar supervisando las ejecuciones de Nginx con argumentos que incluyen referencias al sistema de archivos
Esta clase de vulnerabilidades puede permitir que los actores maliciosos ejecuten código arbitrario dentro del controlador de Los resultados se clasifican como de gravedad Media. |
Este detector supervisa el contenedor ingress-nginx en busca de ejecuciones de Nginx que tengan argumentos que incluyan referencias al sistema de archivos /proc, lo que indica una posible ejecución de código remoto.
|
| Ejecución: Ejecución de la herramienta de ataque de Kubernetes | KUBERNETES_ATTACK_TOOL_EXECUTION |
Se ejecutó una herramienta de ataque específica de Kubernetes en el entorno, lo que podría indicar que un atacante está apuntando a los componentes del clúster de Kubernetes. Si se ejecuta una herramienta de ataque en el entorno de Kubernetes, esto podría sugerir que un atacante obtuvo acceso al clúster y está usando la herramienta para aprovechar vulnerabilidades o configuraciones específicas de Kubernetes. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca herramientas de ataque de Kubernetes que se estén ejecutando y que se identifiquen como amenazas potenciales según los datos de inteligencia. El detector activa alertas para mitigar posibles vulneraciones en el clúster. |
| Ejecución: Ejecución de la herramienta de reconocimiento local | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Se ejecutó una herramienta de reconocimiento local que no suele asociarse con el contenedor o el entorno, lo que sugiere un intento de recopilar información interna del sistema. Si se ejecuta una herramienta de reconocimiento, se sugiere que el atacante puede estar intentando mapear la infraestructura, identificar vulnerabilidades o recopilar datos sobre las configuraciones del sistema para planificar sus próximos pasos. Los hallazgos se clasifican como de gravedad Crítica. |
El detector supervisa la ejecución de herramientas de reconocimiento conocidas dentro del entorno, identificadas a través de la inteligencia sobre amenazas, lo que podría indicar la preparación para actividades más maliciosas. |
| Ejecución: Se ejecutó un código malicioso de Python | MALICIOUS_PYTHON_EXECUTED |
Un modelo de aprendizaje automático identificó el código de Python especificado como malicioso. Los atacantes pueden usar Python para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. Los hallazgos se clasifican como de gravedad Crítica. |
El detector usa técnicas de PNL para evaluar el contenido del código de Python ejecutado. Dado que este enfoque no se basa en firmas, los detectores pueden identificar código Python conocido y nuevo. |
| Ejecución: Se ejecutó un objeto binario malicioso modificado | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Se ejecutó un objeto binario que cumple con las siguientes condiciones:
Si se ejecuta un objeto binario malicioso modificado, es una señal clara de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca un objeto binario en ejecución que se incluyó originalmente en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución y se identificó como malicioso según la inteligencia sobre amenazas. |
| Ejecución: Se cargó la biblioteca maliciosa modificada | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Se cargó una biblioteca que cumple con las siguientes condiciones:
Si se carga una biblioteca maliciosa modificada, es un indicio claro de que un atacante tiene el control de la carga de trabajo y está ejecutando software malicioso. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca una biblioteca que se carga y que originalmente se incluyó en la imagen del contenedor, pero que se modificó durante el tiempo de ejecución, y que se identificó como maliciosa según la inteligencia sobre amenazas. |
| Ejecución: Ejecución remota de código de Netcat en un contenedor | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, una utilidad de redes versátil, se ejecutó dentro del entorno del contenedor, lo que podría indicar un intento de establecer acceso remoto no autorizado o exfiltrar datos. El uso de Netcat en un entorno de contenedores puede indicar el esfuerzo de un atacante por crear una shell inversa, habilitar el movimiento lateral o ejecutar comandos arbitrarios, lo que podría comprometer la integridad del sistema. Los resultados se clasifican como gravedad Baja. |
El detector supervisa la ejecución de Netcat dentro del contenedor, ya que su uso en entornos de producción es poco común y puede indicar un intento de eludir los controles de seguridad o ejecutar comandos remotos. |
| Ejecución: Se detectó una posible ejecución remota de comandos | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Se detectó un proceso que generaba comandos comunes de UNIX a través de una conexión de socket de red, lo que indica un posible intento de establecer capacidades de ejecución remota de comandos no autorizadas. Los atacantes suelen utilizar técnicas que imitan shells inversos para obtener control interactivo sobre un sistema comprometido, lo que les permite ejecutar comandos arbitrarios de forma remota y eludir las medidas de seguridad de red estándar, como las restricciones de firewall. La detección de la ejecución de comandos a través de un socket es un indicador sólido de acceso remoto malicioso. Los resultados se clasifican como de gravedad Media. |
Este detector supervisa la creación de sockets de red seguida de la ejecución de comandos estándar de shell de UNIX. Este patrón sugiere un intento de crear un canal encubierto para la ejecución de comandos remotos, lo que podría permitir más actividades maliciosas en el host comprometido. |
| Ejecución: Ejecución del programa con entorno de proxy HTTP no permitido | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Se ejecutó un programa con una variable de entorno de proxy HTTP que no está permitida. Esto puede indicar un intento de eludir los controles de seguridad, redireccionar el tráfico con fines maliciosos o extraer datos a través de canales no autorizados. Los atacantes pueden configurar proxies HTTP no permitidos para interceptar información sensible, enrutar el tráfico a través de servidores maliciosos o establecer canales de comunicación encubiertos. Detectar la ejecución de programas con estas variables de entorno es fundamental para mantener la seguridad de la red y evitar las filtraciones de datos. Los resultados se clasifican como gravedad Baja. |
Este detector supervisa la ejecución de programas con variables de entorno de proxy HTTP que están específicamente prohibidas. El uso de estos proxies, en especial cuando es inesperado, puede indicar actividad maliciosa y requiere una investigación inmediata. |
| Ejecución: Modificación sospechosa de Cron (vista previa) | SUSPICIOUS_CRON_MODIFICATION |
Se modificó un archivo de configuración
Las modificaciones en los trabajos de Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
Este detector supervisa los archivos de configuración de cron en busca de modificaciones.
|
| Ejecución: Se cargó un objeto compartido de OpenSSL sospechoso | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
Se ejecutó OpenSSL para cargar un objeto compartido personalizado. Los atacantes pueden cargar bibliotecas personalizadas y reemplazar las bibliotecas existentes que usa OpenSSL para ejecutar código malicioso. Su uso en producción es poco común y debería justificar una investigación inmediata. Los hallazgos se clasifican como de gravedad Crítica. |
Este detector supervisa la ejecución del comando openssl engine para cargar archivos .so personalizados.
|
| Exfiltración: Inicia las herramientas de copia remota de archivos en el contenedor | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Se detectó la ejecución de una herramienta de copia de archivos remota dentro del contenedor, lo que indica un posible robo de datos, movimiento lateral o implementación de cargas útiles maliciosas. Los atacantes suelen usar estas herramientas para transferir datos sensibles fuera del contenedor, moverse lateralmente dentro de la red para vulnerar otros sistemas o introducir software malicioso para realizar más actividades maliciosas. Detectar el uso de herramientas de copia de archivos remotos es fundamental para evitar filtraciones de datos, accesos no autorizados y una mayor vulneración del contenedor y, posiblemente, del sistema host. Los resultados se clasifican como gravedad Baja. |
Este detector supervisa la ejecución de herramientas conocidas de copia remota de archivos en el entorno del contenedor. Su presencia, especialmente cuando es inesperada, puede indicar actividad maliciosa. |
| Impacto: Detect Malicious Cmdlines | DETECT_MALICIOUS_CMDLINES |
Se ejecutó un comando con argumentos que se sabe que son potencialmente destructivos, como intentos de borrar archivos críticos del sistema o modificar configuraciones relacionadas con contraseñas. Los atacantes pueden emitir líneas de comandos maliciosas para provocar inestabilidad en el sistema, impedir la recuperación borrando archivos esenciales o manipular las credenciales del usuario para obtener acceso no autorizado. Detectar estos patrones de comandos específicos es fundamental para evitar un impacto significativo en el sistema. Los hallazgos se clasifican como de gravedad Crítica. |
Este detector supervisa la ejecución de argumentos de línea de comandos que coinciden con patrones asociados a daños en el sistema o elevación de privilegios. La presencia de estos comandos indica un posible intento activo de afectar negativamente la disponibilidad o la seguridad del sistema. |
| Impacto: Quitar datos masivos del disco | REMOVE_BULK_DATA_FROM_DISK |
Se detectó un proceso que realizaba operaciones de eliminación masiva de datos, lo que puede indicar un intento de borrar evidencia, interrumpir servicios o ejecutar un ataque de borrado de datos dentro del entorno del contenedor. Los atacantes pueden quitar grandes volúmenes de datos para ocultar sus rastros, sabotear operaciones o prepararse para implementar ransomware. Detectar este tipo de actividad ayuda a identificar posibles amenazas antes de que se produzca una pérdida de datos críticos. Los resultados se clasifican como gravedad Baja. |
El detector supervisa los comandos y procesos asociados con la eliminación masiva de datos, o con otras herramientas de borrado de datos, para identificar actividad sospechosa que podría comprometer la integridad del sistema. |
| Impacto: Actividad de minería de criptomonedas sospechosa con el protocolo Stratum | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Se detectó un proceso que se comunica a través del protocolo Stratum, que el software de minería de criptomonedas suele usar. Esta actividad sugiere posibles operaciones de minería no autorizadas dentro del entorno del contenedor. Los atacantes suelen implementar mineros de criptomonedas para explotar los recursos del sistema y obtener ganancias económicas, lo que genera un rendimiento degradado, mayores costos operativos y posibles riesgos de seguridad. Detectar este tipo de actividad ayuda a mitigar el abuso de recursos y el acceso no autorizado. Los resultados se clasifican como gravedad Alta. |
Este detector supervisa el uso conocido del protocolo Stratum en el entorno. Dado que las cargas de trabajo de contenedores legítimas no suelen usar Stratum, su presencia puede indicar operaciones de minería no autorizadas o un contenedor comprometido. |
| Secuencia de comandos maliciosa ejecutada | MALICIOUS_SCRIPT_EXECUTED |
Un modelo de aprendizaje automático identificó el código Bash especificado como malicioso. Los atacantes pueden usar Bash para transferir herramientas o cualquier otro archivo desde un sistema externo a un entorno vulnerado y ejecutar comandos sin objetos binarios. Los hallazgos se clasifican como de gravedad Crítica. |
El detector usa técnicas de PNL para evaluar el contenido del código de Bash ejecutado. Como este enfoque no se basa en firmas, los detectores pueden identificar bash malicioso conocido y nuevo. |
| Se detectó una URL maliciosa | MALICIOUS_URL_OBSERVED |
Container Threat Detection observó una URL maliciosa en la lista de argumentos de un proceso en ejecución. Los resultados se clasifican como de gravedad Media. |
El detector verifica las URLs que se observan en la lista de argumentos de los procesos en ejecución con las listas de recursos web no seguros que mantiene el servicio de Navegación segura de Google. Si una URL se clasifica incorrectamente como phishing o software malicioso, denúnciala en Reporting Incorrect Data. |
| Persistencia: Modifica ld.so.preload (vista previa) | MODIFY_LD_SO_PRELOAD |
Se intentó modificar el archivo
Los atacantes pueden usar los cambios en Este es un detector de supervisión de archivos y tiene requisitos específicos de la versión de GKE. Este detector está inhabilitado de forma predeterminada. Para obtener instrucciones sobre cómo habilitarlo, consulta Cómo probar la detección de amenazas a contenedores. |
Este detector supervisa los intentos de modificar el archivo ld.so.preload. |
| Privilege Escalation: Fileless Execution in /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Se ejecutó un proceso desde una ruta de acceso dentro de
Si ejecuta un archivo desde Los resultados se clasifican como gravedad Alta. |
El detector busca cualquier proceso que se haya ejecutado desde /dev/shm.
|
| Shells inversas | REVERSE_SHELL |
Es un proceso iniciado con redireccionamiento de transmisión a un socket remoto conectado. Con una shell inversa, un atacante puede comunicarse desde una carga de trabajo comprometida a una máquina controlada por atacantes. Luego, el atacante puede dirigir y controlar la carga de trabajo, por ejemplo, como parte de una botnet. Los hallazgos se clasifican como de gravedad Crítica. |
El detector busca stdin vinculada a un socket remoto.
|
| Shell secundaria inesperada | UNEXPECTED_CHILD_SHELL |
Un proceso que normalmente no invoca shells generó un proceso de shell. Los hallazgos se clasifican como de gravedad Crítica. |
El detector supervisa todas las ejecuciones de procesos. Cuando se invoca una shell, el detector genera un hallazgo si se sabe que el proceso principal no suele invocar shells. |
¿Qué sigue?
- Obtén más información para usar la detección de amenazas de contenedores.
- Obtén más información para probar la detección de amenazas a contenedores.
- Obtén información para investigar y desarrollar planes de respuesta para las amenazas.
- Obtén más información sobre Artifact Analysis y el análisis de vulnerabilidades.