已执行添加的二进制文件

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

执行了不属于原始容器映像的二进制文件。攻击者通常在刚开始入侵后安装漏洞工具和恶意软件。确保容器不可变是重要的最佳实践。这是严重程度为“低”的发现结果,因为您的组织可能未遵循此最佳实践。如果二进制文件的哈希是已知的失陷指标 (IoC),则会出现相应的 Execution: Added Malicious Binary Executed 发现结果。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Added Binary Executed 发现结果。系统会打开发现结果详细信息面板,以显示摘要标签页。

  2. 摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:
      • 程序二进制文件:添加的二进制文件的绝对路径。
      • 参数:调用添加的二进制文件时提供的参数。
    • 受影响的资源,尤其是以下字段:
      • 资源全名:集群的完整资源名称,其中包括项目编号、位置和集群名称。
    • 相关链接,尤其是以下字段:
      • VirusTotal 指示器:指向 VirusTotal 分析页面的链接。

  3. 点击 JSON,并注意以下字段:

    • resource
      • project_display_name:包含集群的项目的名称。
    • sourceProperties
      • Pod_Namespace:Pod 的 Kubernetes 命名空间的名称。
      • Pod_Name:GKE Pod 的名称。
      • Container_Name:受影响的容器的名称。
      • Container_Image_Uri:要部署的容器映像的名称。
      • VM_Instance_Name:在其中执行 Pod 的 GKE 节点的名称。

  4. 识别此容器在相似时间发生的其他发现结果。相关发现结果可能表明此活动是恶意活动,而不是未遵循最佳实践。

第 2 步:查看集群和节点

  1. 在 Google Cloud 控制台中,前往 Kubernetes 集群页面。

    转到 KUBERNETES 集群

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 选择发现结果详情摘要标签页中资源全名行上列出的集群。请记下有关集群及其所有者的所有元数据。

  4. 点击节点标签页。选择 VM_Instance_Name 中列出的节点。

  5. 点击详细信息标签页,并记下 container.googleapis.com/instance_id 注解。

第 3 步:审核 Pod

  1. 在 Google Cloud 控制台中,前往 Kubernetes 工作负载页面。

    转到“Kubernetes 工作负载”

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 如有必要,对发现结果详情摘要标签页中资源全名行上列出的集群以及 Pod_Namespace 中列出的 Pod 命名空间进行过滤。

  4. 选择 Pod_Name 中列出的 Pod。请记下有关 Pod 及其所有者的所有元数据。

第 4 步:检查日志

  1. 在 Google Cloud 控制台中,前往 Logs Explorer

    前往 Logs Explorer

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 选择时间范围设置为感兴趣的时间段。

  4. 在加载的页面上,执行以下操作:

    1. 使用以下过滤条件查找 Pod_Name 的 Pod 日志:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. 使用以下过滤条件查找集群审核日志:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. 使用以下过滤条件查找 GKE 节点控制台日志:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

第 5 步:检查正在运行的容器

如果容器仍在运行,则或许可以直接检查容器环境。

  1. 前往 Google Cloud 控制台。

    打开 Google Cloud 控制台

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 点击激活 Cloud Shell

  4. 通过运行以下命令获取集群的 GKE 凭据。

    对于可用区级集群:

      gcloud container clusters get-credentials cluster_name --zone location --project project_name

    对于区域级集群:

      gcloud container clusters get-credentials cluster_name --region location --project project_name

    替换以下内容:

    • cluster_nameresource.labels.cluster_name 中列出的集群
    • locationresource.labels.location 中列出的位置
    • project_nameresource.project_display_name 中列出的项目名称

  5. 运行以下命令来检索添加的二进制文件:

      kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file

    local_file 替换为本地文件路径,以存储添加的二进制文件。

  6. 通过运行以下命令连接到容器环境:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh

    此命令要求容器在 /bin/sh 处安装 shell。

第 6 步:研究攻击和响应方法

  1. 查看此发现结果类型的 MITRE ATT&CK 框架条目:Ingress Tool Transfer原生 API
  2. 点击 VirusTotal 指标中的链接,以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。

第 7 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  • 如果要将二进制文件包含在容器中,请重新构建包含二进制文件的容器映像。这样,容器就可以是不可变的。
  • 否则,与容器遭入侵的项目的所有者联系。
  • 停止或删除遭入侵的容器,并将其替换为新容器

后续步骤