Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Container Threat Detection

Halaman ini memberikan ringkasan tingkat tinggi tentang konsep dan fitur Container Threat Detection.

Apa itu Container Threat Detection?

Deteksi Ancaman Container adalah layanan bawaan Security Command Center yang terus-menerus memantau status image node Container-Optimized OS. Layanan ini mengevaluasi semua perubahan dan upaya akses jarak jauh untuk mendeteksi serangan runtime mendekati real time.

Container Threat Detection mendeteksi serangan runtime container yang paling umum dan memberi tahu Anda di Security Command Center dan, secara opsional, di Cloud Logging. Container Threat Detection mencakup beberapa kemampuan deteksi, termasuk biner dan library yang mencurigakan, serta menggunakan pemrosesan bahasa alami (NLP) untuk mendeteksi kode Bash dan Python yang berbahaya.

Container Threat Detection hanya tersedia dengan paket Premium atau paket Enterprise Security Command Center.

Cara kerja Container Threat Detection

Instrumentasi deteksi Container Threat Detection mengumpulkan perilaku tingkat rendah di kernel tamu dan skrip yang dijalankan. Berikut adalah jalur eksekusi saat peristiwa terdeteksi:

Container Threat Detection meneruskan informasi peristiwa dan informasi yang mengidentifikasi container melalui DaemonSet mode pengguna ke layanan detektor untuk analisis. Pengumpulan peristiwa dikonfigurasi secara otomatis saat Container Threat Detection diaktifkan.

DaemonSet watcher meneruskan informasi container dengan upaya terbaik. Informasi penampung dapat dihapus dari temuan yang dilaporkan jika Kubernetes dan runtime penampung gagal mengirimkan informasi penampung yang sesuai tepat waktu.
Layanan detektor menganalisis peristiwa untuk menentukan apakah suatu peristiwa menunjukkan adanya insiden. Skrip Bash dan Python dianalisis dengan NLP untuk menentukan apakah kode yang dieksekusi berbahaya.
Jika layanan detektor mengidentifikasi insiden, insiden tersebut akan ditulis sebagai temuan di Security Command Center dan, secara opsional, ke Cloud Logging.
- Jika layanan detektor tidak mengidentifikasi insiden, informasi penemuan tidak akan disimpan.
- Semua data di layanan kernel dan detektor bersifat sementara dan tidak disimpan secara permanen.

Anda dapat melihat detail temuan di konsol Security Command Center dan menyelidiki informasi temuan. Kemampuan Anda untuk melihat dan mengedit temuan ditentukan oleh peran yang diberikan kepada Anda. Untuk mengetahui informasi selengkapnya tentang peran Security Command Center, lihat Kontrol akses.

Pertimbangan

Alat deteksi keamanan lain yang diinstal di cluster Anda dapat mengganggu performa Deteksi Ancaman Container dan menyebabkan alat tersebut tidak berfungsi. Sebaiknya Anda tidak menginstal alat deteksi keamanan lain di cluster jika cluster sudah dilindungi oleh Deteksi Ancaman Kontainer.

Pertimbangan untuk menggunakan pendeteksi pemantauan file

Deteksi Ancaman Kontainer mencakup sejumlah detektor yang memantau operasi file untuk mencari akses atau modifikasi pada file sistem penting. Detektor ini memantau operasi file yang terjadi di node. Workload dengan IO file yang signifikan, seperti sistem CI/CD, berpotensi mengalami penurunan performa saat detektor ini diaktifkan. Untuk menghindari dampak yang tidak terduga, detektor ini dinonaktifkan secara default. Deskripsi setiap detektor mencakup link ke petunjuk untuk mengaktifkannya. Sebaiknya evaluasi dampak pada beban kerja apa pun sebelum mengaktifkan detektor pemantauan file dalam produksi.

Detektor Container Threat Detection

Container Threat Detection mencakup detektor berikut:

Pendeteksi	Modul	Deskripsi	Input untuk deteksi
Eksekusi Biner Ditambahkan	`ADDED_BINARY_EXECUTED`	Biner yang bukan bagian dari image container asli dieksekusi. Jika program biner tambahan dieksekusi oleh penyerang, hal ini dapat menjadi tanda bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan perintah arbitrer. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor mencari biner yang sedang dieksekusi yang bukan bagian dari image container asli, atau dimodifikasi dari image container asli.
Library yang Ditambahkan Dimuat	`ADDED_LIBRARY_LOADED`	Library yang bukan bagian dari image container asli dimuat. Jika pustaka yang ditambahkan dimuat, hal ini bisa menjadi tanda bahwa penyerang mengontrol workload dan menjalankan kode arbitrer. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor akan mencari library yang dimuat yang bukan bagian dari image container asli, atau yang dimodifikasi dari image container asli.
Koleksi: Modifikasi Pam.d (Pratinjau)	`PAM_D_MODIFICATION`	Salah satu file biner atau file konfigurasi di direktori `pam.d` telah diubah. PAM banyak digunakan untuk autentikasi di Linux. Penyerang dapat mengubah file biner atau file konfigurasi untuk mendapatkan akses persisten. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor ini memantau modifikasi file library bersama PAM dan file konfigurasi otorisasi terkait.
Command and Control: Alat Steganografi Terdeteksi	`STEGANOGRAPHY_TOOL_DETECTED`	Program yang dijalankan diidentifikasi sebagai alat steganografi yang umumnya ditemukan di lingkungan mirip Unix, yang menunjukkan potensi upaya untuk menyembunyikan komunikasi atau transfer data. Penyerang dapat menggunakan teknik steganografi untuk menyematkan instruksi perintah dan kontrol (C2) berbahaya atau data yang dieksfiltrasi dalam file digital yang tampaknya tidak berbahaya, dengan tujuan menghindari pemantauan dan deteksi keamanan standar. Mengidentifikasi penggunaan alat tersebut sangat penting untuk mengungkap aktivitas berbahaya yang tersembunyi. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor ini memantau eksekusi alat steganografi yang diketahui. Keberadaan alat tersebut menunjukkan upaya yang disengaja untuk mengaburkan traffic jaringan atau mengekstraksi data, yang berpotensi membuat saluran komunikasi rahasia untuk tujuan berbahaya.
Akses Kredensial: Mengakses File Sensitif di Node (Pratinjau)	`ACCESS_SENSITIVE_FILES_ON_NODES`	Program dijalankan yang mengakses `/etc/shadow` atau SSH `authorized_keys`. Penyerang dapat mengakses file otorisasi untuk menyalin hash sandi. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor mencari akses ke file sistem sensitif seperti file `/etc/shadow` dan SSH `authorized_keys`.
Akses Kredensial: Menemukan Google Cloud Kredensial	`FIND_GCP_CREDENTIALS`	Perintah dijalankan untuk menelusuri Google Cloud kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung. Penyerang dapat menggunakan kredensial Google Cloud yang dicuri untuk mendapatkan akses tidak sah ke data atau resource sensitif dalam lingkungan Google Cloud yang ditargetkan. Temuan diklasifikasikan sebagai tingkat keparahan Rendah. Detektor ini dinonaktifkan secara default. Temuan diklasifikasikan sebagai tingkat keparahan Rendah secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Deteksi ini memantau perintah `find` atau `grep` yang mencoba menemukan file yang berisi kredensial Google Cloud.
Akses Kredensial: Pengintaian Kunci GPG	`GPG_KEY_RECONNAISSANCE`	Perintah dijalankan untuk menelusuri kunci keamanan GPG. Penyerang dapat menggunakan kunci keamanan GPG yang dicuri untuk mendapatkan akses tidak sah ke komunikasi atau file terenkripsi. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor ini memantau perintah `find` atau `grep` yang mencoba menemukan kunci keamanan GPG.
Akses Kredensial: Menelusuri Kunci Pribadi atau Sandi	`SEARCH_PRIVATE_KEYS_OR_PASSWORDS`	Perintah dijalankan untuk menelusuri kunci pribadi, sandi, atau kredensial sensitif lainnya dalam lingkungan penampung, yang menunjukkan potensi upaya untuk mengumpulkan data autentikasi. Penyerang sering menelusuri file kredensial untuk mendapatkan akses tanpa izin ke sistem, mengeskalasikan hak istimewa, atau bergerak secara lateral dalam lingkungan. Mendeteksi aktivitas semacam itu sangat penting untuk mencegah pelanggaran keamanan. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor ini memantau perintah yang diketahui digunakan untuk menemukan kunci pribadi, sandi, atau file kredensial. Keberadaan penelusuran semacam itu dalam lingkungan yang dikontainerisasi dapat menunjukkan upaya pengintaian atau penyusupan aktif.
Penghindaran Pertahanan: Command Line File ELF Base64	`BASE64_ELF_FILE_CMDLINE`	Proses yang dijalankan berisi argumen yang merupakan file ELF (Executable and Linkable Format). Jika eksekusi file ELF yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang sedang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam file ELF. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Deteksi ini memantau argumen proses yang berisi `ELF` dan berenkode base64.
Penghindaran Pertahanan: Skrip Python Berenkode Base64 Dieksekusi	`BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED`	Proses telah dieksekusi yang berisi argumen yang merupakan skrip python berenkode base64. Jika eksekusi skrip python yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip Python. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Deteksi ini memantau argumen proses yang berisi berbagai bentuk `python -c` dan dienkode base64.
Penghindaran Pertahanan: Skrip Shell Berenkode Base64 Dieksekusi	`BASE64_ENCODED_SHELL_SCRIPT_EXECUTED`	Proses yang dijalankan berisi argumen yang merupakan skrip shell berenkode base64. Jika eksekusi skrip shell yang dienkode terdeteksi, hal ini merupakan sinyal bahwa penyerang mencoba mengenkode data biner untuk ditransfer ke command line khusus ASCII. Penyerang dapat menggunakan teknik ini untuk menghindari deteksi dan menjalankan kode berbahaya yang disematkan dalam skrip shell. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Deteksi ini memantau argumen proses untuk menemukan argumen yang berisi berbagai bentuk perintah shell yang dienkode base64.
Penghindaran Pertahanan: Menonaktifkan atau Mengubah Sistem Audit Linux (Pratinjau)	`DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM`	Salah satu file konfigurasi atau file logging sistem audit telah diubah. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor ini memantau modifikasi pada konfigurasi logging, seperti perubahan pada file konfigurasi atau perintah tertentu, serta penonaktifan layanan logging seperti `journalctl` atau `auditctl`.
Penghindaran Pertahanan: Meluncurkan Alat Compiler Kode Dalam Penampung	`LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER`	Proses telah dimulai untuk meluncurkan alat compiler kode dalam lingkungan container, yang menunjukkan potensi upaya untuk membuat atau memodifikasi kode yang dapat dieksekusi dalam konteks terisolasi. Penyerang dapat menggunakan compiler kode dalam penampung untuk mengembangkan payload berbahaya, menyuntikkan kode ke dalam biner yang ada, atau membuat alat untuk melewati kontrol keamanan, semuanya saat beroperasi di lingkungan yang kurang diperiksa untuk menghindari deteksi pada sistem host. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor ini memantau eksekusi alat compiler kode yang diketahui di dalam container. Keberadaan aktivitas tersebut menunjukkan potensi upaya untuk melakukan pengembangan atau modifikasi kode berbahaya dalam container, kemungkinan sebagai taktik penghindaran pertahanan untuk merusak komponen sistem atau software klien.
Penghindaran Pertahanan: Root Certificate Diinstal (Pratinjau)	`ROOT_CERTIFICATE_INSTALLED`	Root certificate diinstal pada node. Penyerang dapat menginstal sertifikat root untuk menghindari pemberitahuan keamanan saat membuat koneksi ke server web berbahaya mereka. Penyerang dapat melakukan serangan man-in-the-middle, memintas data sensitif yang dipertukarkan antara korban dan server penyerang, tanpa memicu peringatan apa pun. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor ini memantau modifikasi pada file sertifikat root.
Eksekusi: Eksekusi Biner Berbahaya yang Ditambahkan	`ADDED_MALICIOUS_BINARY_EXECUTED`	Biner yang memenuhi kondisi berikut dieksekusi: Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman Bukan bagian dari image container asli Jika program biner berbahaya yang ditambahkan dieksekusi, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka sedang mengeksekusi software berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari biner yang dieksekusi yang bukan bagian dari image container asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Eksekusi: Pustaka Berbahaya yang Dimuat Ditambahkan	`ADDED_MALICIOUS_LIBRARY_LOADED`	Library yang memenuhi kondisi berikut dimuat: Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman Bukan bagian dari image container asli Jika library berbahaya yang ditambahkan dimuat, hal ini merupakan tanda kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari library yang dimuat yang bukan bagian dari image penampung asli, dan diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman.
Eksekusi: Biner Berbahaya Bawaan Dieksekusi	`BUILT_IN_MALICIOUS_BINARY_EXECUTED`	Biner yang memenuhi kondisi berikut dieksekusi: Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman Disertakan dalam image container asli Jika program biner berbahaya bawaan dieksekusi, itu adalah tanda bahwa penyerang men-deploy penampung berbahaya. Mereka mungkin telah mendapatkan kontrol atas repositori image atau pipeline build container yang sah dan menyuntikkan biner berbahaya ke dalam image container. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari biner yang sedang dieksekusi yang disertakan dalam image container asli, dan diidentifikasi sebagai berbahaya berdasarkan informasi intelijen ancaman.
Eksekusi: Container Escape	`CONTAINER_ESCAPE`	Proses dijalankan di dalam container yang mencoba keluar dari isolasi container, yang berpotensi memberi penyerang akses ke sistem host. Jika upaya container escape terdeteksi, hal ini mungkin menunjukkan bahwa penyerang mengeksploitasi kerentanan untuk keluar dari container. Akibatnya, penyerang dapat memperoleh akses tidak sah ke sistem host atau infrastruktur yang lebih luas, sehingga membahayakan seluruh lingkungan. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor memantau proses yang mencoba mengeksploitasi batas container yang menggunakan teknik atau biner yang diketahui. Proses ini ditandai oleh intelijen ancaman sebagai potensi serangan yang menargetkan sistem host yang mendasarinya.
Eksekusi: Eksekusi Tanpa File di /memfd:	`FILELESS_EXECUTION_DETECTION_MEMFD`	Proses dijalankan menggunakan deskriptor file dalam memori. Jika proses diluncurkan dari file dalam memori, hal ini dapat menunjukkan bahwa penyerang sedang mencoba melewati metode deteksi lain untuk mengeksekusi kode berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi.	Detektor memantau proses yang dieksekusi dari `/memfd:`.
Eksekusi: Eksekusi Kerentanan Ingress Nightmare (Pratinjau)	`INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION`	Eksekusi CVE-2025-1974 dapat dideteksi dengan memantau eksekusi Nginx dengan argumen yang mencakup referensi ke sistem file `/proc` dalam penampung `ingress-nginx` yang menunjukkan potensi eksekusi kode jarak jauh. Kerentanan jenis ini dapat memungkinkan pelaku berbahaya mengeksekusi kode arbitrer dalam pengontrol `ingress-nginx`, yang berpotensi mengakibatkan eksposur Secret Kubernetes yang sensitif Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Detektor ini memantau container `ingress-nginx` untuk eksekusi Nginx yang memiliki argumen yang menyertakan referensi ke sistem file `/proc` yang menunjukkan potensi eksekusi kode jarak jauh.
Eksekusi: Eksekusi Alat Serangan Kubernetes	`KUBERNETES_ATTACK_TOOL_EXECUTION`	Alat serangan khusus Kubernetes dijalankan dalam lingkungan, yang dapat menunjukkan bahwa penyerang menargetkan komponen cluster Kubernetes. Jika alat serangan dijalankan dalam lingkungan Kubernetes, hal ini dapat menunjukkan bahwa penyerang telah mendapatkan akses ke cluster dan menggunakan alat tersebut untuk mengeksploitasi kerentanan atau konfigurasi khusus Kubernetes. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari alat serangan Kubernetes yang sedang dieksekusi dan diidentifikasi sebagai potensi ancaman berdasarkan data intelijen. Detektor memicu pemberitahuan untuk memitigasi potensi penyusupan di cluster.
Eksekusi: Eksekusi Alat Pengintaian Lokal	`LOCAL_RECONNAISSANCE_TOOL_EXECUTION`	Alat pengintaian lokal yang biasanya tidak terkait dengan penampung atau lingkungan dieksekusi, yang menunjukkan upaya untuk mengumpulkan informasi sistem internal. Jika alat pengintaian dijalankan, hal ini menunjukkan bahwa penyerang mungkin mencoba memetakan infrastruktur, mengidentifikasi kerentanan, atau mengumpulkan data tentang konfigurasi sistem untuk merencanakan langkah selanjutnya. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor memantau eksekusi alat pengintaian yang diketahui di dalam lingkungan, yang diidentifikasi melalui kecerdasan ancaman, yang dapat mengindikasikan persiapan untuk aktivitas yang lebih berbahaya.
Eksekusi: Python berbahaya dieksekusi	`MALICIOUS_PYTHON_EXECUTED`	Model machine learning mengidentifikasi kode Python yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Python untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner. Catatan: Jika Anda mengaktifkan lokasi penyimpanan data untuk lokasi tertentu, detektor ini tidak dapat diaktifkan dan tidak menghasilkan temuan di lokasi tersebut. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Python yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi Python yang dikenal dan baru.
Eksekusi: Biner Berbahaya yang Dimodifikasi Dieksekusi	`MODIFIED_MALICIOUS_BINARY_EXECUTED`	Biner yang memenuhi kondisi berikut dieksekusi: Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman Disertakan dalam image container asli Diubah dari image container asli selama runtime Jika biner berbahaya yang dimodifikasi dieksekusi, hal ini merupakan indikasi kuat bahwa penyerang memiliki kontrol atas beban kerja dan mereka sedang mengeksekusi software berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari biner yang sedang dieksekusi yang awalnya disertakan dalam image container tetapi dimodifikasi selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan analisis ancaman.
Eksekusi: Library Berbahaya yang Dimodifikasi Dimuat	`MODIFIED_MALICIOUS_LIBRARY_LOADED`	Library yang memenuhi kondisi berikut dimuat: Diidentifikasi sebagai berbahaya berdasarkan kecerdasan ancaman Disertakan dalam image container asli Diubah dari image container asli selama runtime Jika library berbahaya yang dimodifikasi dimuat, hal ini merupakan indikasi kuat bahwa penyerang memiliki kontrol atas workload dan mereka menjalankan software berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari library yang dimuat yang awalnya disertakan dalam image container, tetapi diubah selama runtime, dan diidentifikasi sebagai berbahaya berdasarkan analisis ancaman.
Eksekusi: Netcat Remote Code Execution di Container	`NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER`	Netcat, utilitas jaringan serbaguna, dieksekusi dalam lingkungan container, yang berpotensi mengindikasikan upaya untuk membuat akses jarak jauh yang tidak sah atau memindahkan data. Penggunaan Netcat di lingkungan yang dikontainerisasi dapat menandakan upaya penyerang untuk membuat shell terbalik, memungkinkan pergerakan lateral, atau mengeksekusi perintah arbitrer, yang dapat membahayakan integritas sistem. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor memantau eksekusi Netcat dalam container, karena penggunaannya di lingkungan produksi tidak umum dan dapat menandakan upaya untuk melewati kontrol keamanan atau mengeksekusi perintah jarak jauh.
Eksekusi: Kemungkinan Eksekusi Perintah Arbitrer melalui CUPS (CVE-2024-47177)	`POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS`	Pengguna non-root telah menjalankan `pkexec` dengan variabel lingkungan yang mencoba melakukan eskalasi hak istimewa. Aturan ini mendeteksi proses `footmatic-rip` yang menjalankan program shell umum, yang dapat menunjukkan bahwa penyerang telah mengeksploitasi CVE-2024-47177. `foomatic-rip` adalah bagian dari OpenPrinting CUPS, layanan pencetakan open source yang merupakan bagian dari banyak distribusi Linux. Sebagian besar image container menonaktifkan atau menghapus layanan pencetakan ini. Jika deteksi ini ada, evaluasi apakah ini adalah perilaku yang diinginkan atau nonaktifkan layanan segera. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari proses `shell` yang merupakan proses turunan dari proses `foomatic-rip`.
Eksekusi: Kemungkinan Eksekusi Perintah Jarak Jauh Terdeteksi	`POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED`	Proses terdeteksi memunculkan perintah UNIX umum melalui koneksi soket jaringan, yang menunjukkan potensi upaya untuk membuat kemampuan eksekusi perintah jarak jauh yang tidak sah. Penyerang sering kali menggunakan teknik yang meniru reverse shell untuk mendapatkan kontrol interaktif atas sistem yang disusupi, sehingga mereka dapat mengeksekusi perintah arbitrer dari jarak jauh dan melewati langkah-langkah keamanan jaringan standar seperti batasan firewall. Mendeteksi eksekusi perintah melalui soket adalah indikator kuat akses jarak jauh berbahaya. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Detektor ini memantau pembuatan soket jaringan yang diikuti dengan eksekusi perintah shell UNIX standar. Pola ini menunjukkan upaya untuk membuat saluran rahasia untuk eksekusi perintah jarak jauh, yang berpotensi memungkinkan aktivitas berbahaya lebih lanjut di host yang terkompromi.
Eksekusi: Program Berjalan dengan Env Proxy HTTP yang Tidak Diizinkan	`PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV`	Program dieksekusi dengan variabel lingkungan proxy HTTP yang tidak diizinkan. Hal ini dapat mengindikasikan upaya untuk melewati kontrol keamanan, mengarahkan ulang traffic untuk tujuan berbahaya, atau mengekstrak data melalui saluran yang tidak sah. Penyerang dapat mengonfigurasi proxy HTTP yang tidak diizinkan untuk mencegat informasi sensitif, merutekan traffic melalui server berbahaya, atau membuat saluran komunikasi rahasia. Mendeteksi eksekusi program dengan variabel lingkungan ini sangat penting untuk menjaga keamanan jaringan dan mencegah pelanggaran data. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor ini memantau eksekusi program dengan variabel lingkungan proxy HTTP yang secara khusus tidak diizinkan. Penggunaan proxy ini, terutama jika tidak terduga, dapat menandakan aktivitas berbahaya dan memerlukan penyelidikan segera.
Eksekusi: Socat Reverse Shell Terdeteksi	`SOCAT_REVERSE_SHELL_DETECTED`	Perintah `socat` telah digunakan untuk membuat reverse shell. Aturan ini mendeteksi eksekusi socat untuk membuat shell terbalik dengan mengarahkan ulang deskriptor file stdin, stdout, dan stderr. Ini adalah teknik umum yang digunakan oleh penyerang untuk mendapatkan akses jarak jauh ke sistem yang disusupi. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Detektor mencari proses `shell` yang merupakan proses turunan dari proses `socat`.
Eksekusi: Modifikasi Cron Mencurigakan (Pratinjau)	`SUSPICIOUS_CRON_MODIFICATION`	File konfigurasi `cron` telah diubah. Modifikasi pada tugas `cron` adalah taktik umum yang digunakan oleh penyerang untuk mendapatkan akses persisten ke sistem. Penyerang dapat memanfaatkan perubahan yang tidak sah pada tugas `cron` untuk mengeksekusi perintah berbahaya pada interval tertentu, sehingga mereka dapat mempertahankan akses dan kontrol atas sistem. Modifikasi tersebut dapat tidak disadari dan memungkinkan penyerang melakukan aktivitas tersembunyi selama jangka waktu yang lama. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor ini memantau file konfigurasi `cron` untuk modifikasi.
Eksekusi: Objek Bersama OpenSSL Mencurigakan Dimuat	`SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED`	OpenSSL telah dieksekusi untuk memuat objek bersama kustom. Penyerang dapat memuat library kustom dan mengganti library yang ada yang digunakan oleh OpenSSL untuk menjalankan kode berbahaya. Penggunaannya dalam produksi tidak umum dan harus segera diselidiki. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor ini memantau eksekusi perintah `openssl engine` untuk memuat file `.so` kustom.
Eksfiltrasi: Meluncurkan Alat Penyalinan File Jarak Jauh di Container	`LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER`	Eksekusi alat penyalinan file jarak jauh terdeteksi dalam container, yang menunjukkan potensi eksfiltrasi data, pergerakan lateral, atau deployment payload berbahaya. Penyerang sering menggunakan alat ini untuk mentransfer data sensitif ke luar penampung, bergerak secara lateral di dalam jaringan untuk menyusupi sistem lain, atau memasukkan malware untuk melakukan aktivitas berbahaya lebih lanjut. Mendeteksi penggunaan alat penyalinan file jarak jauh sangat penting untuk mencegah kebocoran data, akses tidak sah, dan kompromi lebih lanjut pada penampung dan berpotensi pada sistem host. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor ini memantau eksekusi alat penyalinan file jarak jauh yang diketahui dalam lingkungan container. Kehadirannya, terutama jika tidak terduga, dapat menunjukkan aktivitas berbahaya.
Dampak: Mendeteksi Cmdline Berbahaya	`DETECT_MALICIOUS_CMDLINES`	Perintah dijalankan dengan argumen yang diketahui berpotensi merusak, seperti upaya untuk menghapus file sistem penting atau mengubah konfigurasi terkait sandi. Penyerang dapat mengeluarkan perintah baris yang berbahaya untuk menyebabkan ketidakstabilan sistem, mencegah pemulihan dengan menghapus file penting, atau mendapatkan akses tidak sah dengan memanipulasi kredensial pengguna. Mendeteksi pola perintah spesifik ini sangat penting untuk mencegah dampak signifikan pada sistem. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor ini memantau eksekusi argumen command line yang cocok dengan pola yang terkait dengan kerusakan sistem atau eskalasi hak istimewa. Keberadaan perintah tersebut menunjukkan potensi upaya aktif untuk berdampak negatif pada ketersediaan atau keamanan sistem.
Dampak: Menghapus Data Massal dari Disk	`REMOVE_BULK_DATA_FROM_DISK`	Proses terdeteksi melakukan operasi penghapusan data massal, yang dapat mengindikasikan upaya untuk menghapus bukti, mengganggu layanan, atau menjalankan serangan penghapusan data dalam lingkungan penampung. Penyerang dapat menghapus data dalam volume besar untuk menutupi jejak mereka, mensabotase operasi, atau bersiap untuk men-deploy ransomware. Mendeteksi aktivitas tersebut membantu mengidentifikasi potensi ancaman sebelum terjadi kehilangan data penting. Temuan diklasifikasikan sebagai tingkat keparahan Rendah.	Detektor memantau perintah dan proses yang terkait dengan penghapusan data massal, atau alat penghapus data lainnya, untuk mengidentifikasi aktivitas mencurigakan yang dapat membahayakan integritas sistem.
Dampak: Aktivitas penambangan kripto yang mencurigakan menggunakan Stratum Protocol	`SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL`	Terdeteksi proses yang berkomunikasi melalui protokol Stratum, yang biasanya digunakan oleh software penambangan mata uang kripto. Aktivitas ini menunjukkan potensi operasi penambangan yang tidak sah dalam lingkungan container. Penyerang sering kali men-deploy penambang kripto untuk mengeksploitasi resource sistem demi keuntungan finansial, yang menyebabkan penurunan performa, peningkatan biaya operasional, dan potensi risiko keamanan. Mendeteksi aktivitas semacam itu membantu memitigasi penyalahgunaan resource dan akses tidak sah. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi.	Detektor ini memantau penggunaan protokol Stratum yang diketahui dalam lingkungan. Karena workload container yang sah biasanya tidak menggunakan Stratum, keberadaannya dapat mengindikasikan operasi penambangan yang tidak sah atau container yang disusupi.
Skrip Berbahaya Dieksekusi	`MALICIOUS_SCRIPT_EXECUTED`	Model machine learning mengidentifikasi kode Bash yang ditentukan sebagai berbahaya. Penyerang dapat menggunakan Bash untuk mentransfer alat atau file lain dari sistem eksternal ke lingkungan yang disusupi dan mengeksekusi perintah tanpa biner. Catatan: Jika Anda mengaktifkan lokasi penyimpanan data untuk lokasi tertentu, detektor ini tidak dapat diaktifkan dan tidak menghasilkan temuan di lokasi tersebut. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor menggunakan teknik NLP untuk mengevaluasi konten kode Bash yang dieksekusi. Karena pendekatan ini tidak didasarkan pada tanda tangan, detektor dapat mengidentifikasi bash berbahaya yang sudah dikenal dan baru.
URL Berbahaya Terdeteksi	`MALICIOUS_URL_OBSERVED`	Container Threat Detection mengamati URL berbahaya dalam daftar argumen proses yang sedang berjalan. Temuan diklasifikasikan sebagai tingkat keparahan Sedang.	Detektor memeriksa URL yang diamati dalam daftar argumen proses yang sedang berjalan berdasarkan daftar resource web tidak aman yang dikelola oleh layanan Safe Browsing Google. Jika URL salah diklasifikasikan sebagai phishing atau malware, laporkan di Melaporkan Data yang Salah.
Persistensi: Mengubah ld.so.preload (Pratinjau)	`MODIFY_LD_SO_PRELOAD`	Upaya dilakukan untuk mengubah file `ld.so.preload`. Perubahan pada `ld.so.preload` dapat digunakan oleh penyerang untuk memuat library bersama berbahaya ke dalam kumpulan library sistem. Penyerang dapat menggunakan hal ini untuk membajak alur eksekusi dengan memuat library mereka sendiri selama eksekusi program, yang berpotensi menyebabkan eskalasi hak istimewa atau penghindaran mekanisme pertahanan. Detektor ini adalah detektor pemantauan file dan memiliki persyaratan versi GKE tertentu. Detektor ini dinonaktifkan secara default. Untuk mengetahui petunjuk tentang cara mengaktifkannya, lihat Menguji Container Threat Detection.	Detektor ini memantau upaya untuk mengubah file ld.so.preload.
Eskalasi Akses: Penyalahgunaan Sudo untuk Eskalasi Akses (CVE-2019-14287)	`ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION`	`sudo` telah dieksekusi dengan argumen yang mencoba meningkatkan hak istimewa. Deteksi ini memberi tahu upaya eksploitasi CVE-2019-14287, yang memungkinkan eskalasi hak istimewa melalui penyalahgunaan perintah sudo. `sudo` versi sebelum v1.8.28 memiliki eksploitasi yang dapat meningkatkan hak istimewa pengguna non-root menjadi hak istimewa pengguna root. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari eksekusi `sudo` yang memiliki argumen `-u#-1` atau `-u#4294967295`.
Eskalasi Akses: Eksekusi Tanpa File di /dev/shm	`FILELESS_EXECUTION_DETECTION_SHM`	Proses telah dieksekusi dari jalur dalam `/dev/shm`. Dengan menjalankan file dari `/dev/shm`, penyerang dapat menjalankan kode berbahaya dari direktori ini untuk menghindari deteksi oleh alat keamanan, sehingga mereka dapat melakukan serangan eskalasi hak istimewa atau serangan injeksi proses. Temuan diklasifikasikan sebagai tingkat keparahan Tinggi.	Detektor mencari proses apa pun yang telah dieksekusi dari `/dev/shm`
Eskalasi Akses: Kerentanan Eskalasi Akses Lokal Polkit (CVE-2021-4034)	`POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY`	Pengguna non-root telah menjalankan `pkexec` dengan variabel lingkungan yang mencoba melakukan eskalasi hak istimewa. Aturan ini mendeteksi upaya untuk mengeksploitasi kerentanan eskalasi hak istimewa (CVE-2021-4034) di `pkexec` Polkit. Dengan menjalankan kode yang dibuat khusus, pengguna non-root dapat menggunakan kelemahan ini untuk mendapatkan hak istimewa root di sistem yang terkompromi. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari eksekusi `pkexec` yang memiliki variabel lingkungan `GCONV_PATH` yang ditetapkan.
Eskalasi Hak Istimewa: Potensi Eskalasi Hak Istimewa Sudo (CVE-2021-3156)	`SUDO_POTENTIAL_PRIVILEGE_ESCALATION`	Pengguna non-root telah menjalankan `sudo` atau `sudoedit` dengan pola argumen yang berupaya meningkatkan hak istimewa. Mendeteksi upaya untuk mengeksploitasi kerentanan yang memengaruhi versi `sudo` <= 1.9.5p2. Mengeksekusi `sudo` atau `sudoedit` dengan argumen tertentu, termasuk yang berakhir dengan satu karakter garis miring terbalik, sebagai pengguna yang tidak memiliki hak istimewa dapat meningkatkan hak istimewa pengguna menjadi hak istimewa pengguna root. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari eksekusi `sudo` atau `sudoedit` yang mencoba menggunakan argumen yang diidentifikasi sebagai bagian dari eksploitasi CVE-2021-4034.
Reverse Shell	`REVERSE_SHELL`	Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Dengan reverse shell, penyerang dapat berkomunikasi dari workload yang disusupi ke mesin yang dikontrol penyerang. Penyerang kemudian dapat memerintah dan mengontrol beban kerja—misalnya, sebagai bagian dari botnet. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor mencari `stdin` yang terikat ke soket jarak jauh.
Shell Turunan yang Tidak Terduga	`UNEXPECTED_CHILD_SHELL`	Proses yang biasanya tidak memanggil shell memunculkan proses shell. Temuan diklasifikasikan sebagai tingkat keparahan Kritis.	Detektor memantau semua eksekusi proses. Saat shell dipanggil, detektor akan menghasilkan temuan jika proses induk diketahui biasanya tidak memanggil shell.

Langkah berikutnya

Pelajari cara menggunakan Container Threat Detection.
Pelajari cara menguji Container Threat Detection.
Pelajari cara menyelidiki dan menyusun rencana respons terhadap ancaman.
Pelajari Artifact Analysis dan pemindaian kerentanan.