本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。
總覽
載入的程式庫並非原始容器映像檔的一部分。
攻擊者可能會將惡意程式庫載入現有程式,藉此規避程式碼執行保護機制並隱藏惡意程式碼。確保容器不可變是重要的最佳做法。這是低嚴重程度的發現,因為貴機構可能未遵循這項最佳做法。如果二進位檔的雜湊是已知的入侵指標 (IoC),就會有對應的 Execution: Added Malicious Library Loaded 發現項目。
回應方式
如要回應這項發現,請按照下列步驟操作:
步驟 1:查看調查結果詳細資料
按照「查看結果」一文的說明,開啟
Added Library Loaded發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。在「摘要」分頁中,查看下列各節的資訊:
- 偵測到的內容,特別是下列欄位:
- 程式二進位檔:載入程式庫的程序二進位檔完整路徑。
- 程式庫:新增程式庫的詳細資料。
- 引數:叫用程序二進位檔時提供的引數。
- 受影響的資源,尤其是下列欄位:
- 完整資源名稱:叢集的完整資源名稱。
- 相關連結,尤其是下列欄位:
- VirusTotal 指標:連結至 VirusTotal 分析頁面。
- 偵測到的內容,特別是下列欄位:
按一下「JSON」分頁標籤,並記下下列欄位:
resource:project_display_name:包含資產的專案名稱。
sourceProperties:Pod_Namespace:Pod 的 Kubernetes 命名空間名稱。Pod_Name:GKE Pod 的名稱。Container_Name:受影響的容器名稱。Container_Image_Uri:正在執行的容器映像檔名稱。VM_Instance_Name:執行 Pod 的 GKE 節點名稱。
找出這個容器在類似時間發生的其他發現項目。相關發現可能指出這項活動是惡意行為,而非未遵循最佳做法。
步驟 2:檢查叢集和節點
在 Google Cloud 控制台中,前往「Kubernetes clusters」(Kubernetes 叢集) 頁面。
在 Google Cloud 控制台工具列中,視需要選取
resource.project_display_name中列出的專案。選取
resource.name中列出的叢集。請記下叢集及其擁有者的任何中繼資料。按一下「Nodes」(節點) 分頁標籤。選取
VM_Instance_Name中列出的節點。按一下「詳細資料」分頁標籤,並注意
container.googleapis.com/instance_id註解。
步驟 3:檢查 Pod
前往 Google Cloud 控制台的「Kubernetes Workloads」(Kubernetes 工作負載) 頁面。
在 Google Cloud 控制台工具列中,視需要選取
resource.project_display_name中列出的專案。視需要,在調查結果詳細資料的「摘要」分頁中,依「資源全名」列出的叢集和
Pod_Namespace中列出的 Pod 命名空間進行篩選。選取
Pod_Name中列出的 Pod。記下有關 Pod 和擁有者的任何中繼資料。
步驟 4:檢查記錄
前往 Google Cloud 控制台的「Logs Explorer」頁面。
在 Google Cloud 控制台工具列中,視需要選取
resource.project_display_name中列出的專案。將「選取時間範圍」設為感興趣的時間範圍。
在隨即載入的頁面中,執行下列操作:
- 使用下列篩選器,找出
Pod_Name的 Pod 記錄:resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- 使用下列篩選器尋找叢集稽核記錄:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- 使用下列篩選器,找出 GKE 節點控制台記錄:
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- 使用下列篩選器,找出
步驟 5:調查執行中的容器
如果容器仍在執行,或許可以直接調查容器環境。
前往 Google Cloud 控制台。
在 Google Cloud 控制台工具列中,視需要選取
resource.project_display_name中列出的專案。按一下「Activate Cloud Shell」(啟用 Cloud Shell)。
執行下列指令,取得叢集的 GKE 憑證。
區域叢集:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name地區叢集:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name執行下列指令,擷取新增的程式庫:
kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name local_file請將 local_file 替換為本機檔案路徑,用於儲存新增的程式庫。
執行下列指令,連線至容器環境:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh這項指令需要容器在
/bin/sh安裝 Shell。
步驟 6:研究攻擊和回應方法
- 查看這類發現的 MITRE ATT&CK 框架項目: 傳輸入侵工具、 共用模組。
- 在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
- 如要制定回應計畫,請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。
步驟 7:實作回應
下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。
後續步驟
- 瞭解如何在 Security Command Center 中處理威脅調查結果。
- 請參閱威脅發現項目索引。
- 瞭解如何透過 Google Cloud 控制台查看發現項目。
- 瞭解會產生威脅發現項目的服務。