执行：已执行内置恶意二进制文件

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

已执行的二进制文件，其中包含二进制文件：

• 已添加在原始容器映像中。
• 根据威胁情报标识为恶意。

攻击者控制容器映像代码库或创建流水线，并将恶意二进制文件注入到容器映像中。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Execution: Built in Malicious Binary Executed 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 程序二进制文件：内置二进制文件的绝对路径。
     • 参数：调用内置二进制文件时提供的参数。
     • 容器：受影响的容器的名称。
     • 容器 URI：要部署的容器映像的名称。
   • 受影响的资源，尤其是以下字段：
     • 资源全名：集群的完整资源名称，其中包括项目编号、位置和集群名称。
   • 相关链接，尤其是以下字段：
     • VirusTotal 指示器：指向 VirusTotal 分析页面的链接。

3. 点击 JSON，并注意以下字段：

   • sourceProperties：
     • VM_Instance_Name：在其中执行 Pod 的 GKE 节点的名称。

第 2 步：查看集群和节点

1. 在 Google Cloud 控制台中，前往 Kubernetes 集群页面。

   转到 KUBERNETES 集群

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 选择发现结果详情摘要标签页中资源全名行上列出的集群。请记下有关集群及其所有者的所有元数据。

4. 点击节点标签页。选择 VM_Instance_Name 中列出的节点。

5. 点击详细信息标签页，并记下 container.googleapis.com/instance_id 注解。

第 3 步：审核 Pod

1. 在 Google Cloud 控制台中，前往 Kubernetes 工作负载页面。

   转到“Kubernetes 工作负载”

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 如有必要，对发现结果详情摘要标签页中资源全名行上列出的集群以及 Pod_Namespace 中列出的 Pod 命名空间进行过滤。

4. 选择 Pod_Name 中列出的 Pod。请记下有关 Pod 及其所有者的所有元数据。

第 4 步：检查日志

1. 在 Google Cloud 控制台中，前往 Logs Explorer。

   前往 Logs Explorer

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 将选择时间范围设置为感兴趣的时间段。

4. 在加载的页面上，执行以下操作：

   1. 使用以下过滤条件查找 Pod_Name 的 Pod 日志：
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. 使用以下过滤条件查找集群审核日志：
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. 使用以下过滤条件查找 GKE 节点控制台日志：
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

第 5 步：检查正在运行的容器

如果容器仍在运行，则或许可以直接检查容器环境。

1. 前往 Google Cloud 控制台。

   打开 Google Cloud 控制台

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 点击激活 Cloud Shell

4. 通过运行以下命令获取集群的 GKE 凭据。

   对于可用区级集群：

     gcloud container clusters get-credentials cluster_name --zone location --project project_name
   

   对于区域级集群：

     gcloud container clusters get-credentials cluster_name --region location --project project_name
   

   替换以下内容：

   • cluster_name：resource.labels.cluster_name 中列出的集群
   • location：resource.labels.location 中列出的位置
   • project_name：resource.project_display_name 中列出的项目名称

5. 检索内置的恶意二进制文件：

     kubectl cp Pod_Namespace/Pod_Name:Process_Binary_Fullpath -c Container_Name  local_file
   

   将 local_file 替换为用于存储构建的 tin 恶意二进制文件的本地路径。

6. 连接到容器环境：

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   此命令要求容器在 /bin/sh 处安装 shell。

第 6 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：Ingress Tool Transfer、原生 API。
2. 点击 VirusTotal 指标中的链接，以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务，提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
3. 如需制定响应方案，请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。

第 7 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 与容器遭入侵的项目的所有者联系。
• 停止或删除遭入侵的容器，并将其替换为新容器。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。