Ausführung: Ausführung des Kubernetes-Angriffstools
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.
Übersicht
Ein Kubernetes-Angriffstool wurde im Container ausgeführt. Dies deutet auf einen möglichen Versuch hin, Sicherheitslücken in der Kubernetes-Umgebung auszunutzen.
Angreifer verwenden diese Tools häufig, um Berechtigungen zu eskalieren, sich seitlich zu bewegen oder andere Ressourcen im Cluster zu manipulieren.
Dieses Ergebnis hat den Schweregrad Critical. Die Ausführung solcher Tools deutet auf einen vorsätzlichen Versuch hin, die Kontrolle über Kubernetes-Komponenten wie den API-Server, Knoten oder Arbeitslasten zu erlangen. Angreifer können diese Tools verwenden, um Sicherheitskontrollen zu umgehen, Konfigurationen zu manipulieren oder sensible Daten zu exfiltrieren.
Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:
Details zu Ergebnissen ansehen
Öffnen Sie das Execution: Kubernetes Attack Tool Execution-Ergebnis, wie unter Ergebnisse prüfen beschrieben.
Sehen Sie sich die Details auf den Tabs Zusammenfassung und JSON an.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
Was wurde erkannt?, insbesondere die folgenden Felder:
Binärprogramm: der absolute Pfad der ausgeführten Binärdatei
Argumente: die Argumente, die während der Binärausführung übergeben werden
Betroffene Ressource, insbesondere die folgenden Felder:
Beachten Sie auf dem Tab JSON die folgenden Felder:
resource:
project_display_name: der Name des Projekts, das die betroffene Cloud Run-Ressource enthält
finding:
processes:
binary:
path: der vollständige Pfad der ausgeführten Binärdatei
args: die Argumente, die bei der Ausführung der Binärdatei angegeben wurden
Suchen Sie nach anderen Ergebnissen, die für den betroffenen Container zu einem ähnlichen Zeitpunkt aufgetreten sind. Zugehörige Ergebnisse können darauf hindeuten, dass diese Aktivität böswillig war und nicht auf einen Verstoß gegen die Best Practices zurückzuführen ist.
Überprüfen Sie die Einstellungen des betroffenen Containers.
Prüfen Sie die Logs des betroffenen Containers.
Angriffs- und Reaktionsmethoden untersuchen
Sehen Sie sich den MITRE-ATT&CK-Framework-Eintrag für diesen Ergebnistyp an: Funktionen abrufen: Tool.
Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[],[],null,["| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers)\n\nThis document describes a threat finding type in Security Command Center. Threat findings are generated by\n[threat detectors](/security-command-center/docs/concepts-security-sources#threats) when they detect\na potential threat in your cloud resources. For a full list of available threat findings, see [Threat findings index](/security-command-center/docs/threat-findings-index).\n\nOverview\n\nA Kubernetes attack tool was executed within the container. This indicates a\npotential attempt to exploit vulnerabilities in the Kubernetes environment.\nAttackers often use these tools to escalate privileges, perform lateral\nmovement, or compromise other resources within the cluster.\n\nThe severity of this finding is `Critical`. The execution of such tools suggests\na deliberate attempt to gain control over Kubernetes components, such as the API\nserver, nodes, or workloads. Attackers might use these tools to bypass security\ncontrols, manipulate configurations, or exfiltrate sensitive data.\n\nDetection service\n\n[Cloud Run Threat Detection](/security-command-center/docs/cloud-run-threat-detection-overview)\n\nHow to respond\n\nTo respond to this finding, do the following:\n\nReview finding details\n\n1. Open the `Execution: Kubernetes Attack Tool Execution` finding as directed in\n [Reviewing\n findings](/security-command-center/docs/how-to-investigate-threats#reviewing_findings).\n Review the details on the **Summary** and **JSON** tabs.\n\n2. On the **Summary** tab, review the information in the following sections:\n\n - **What was detected** , especially the following fields:\n - **Program binary**: the absolute path of the executed binary\n - **Arguments**: the arguments passed during binary execution\n - **Affected resource** , especially the following fields:\n - **Resource full name** : the [full resource name](/apis/design/resource_names) of the affected Cloud Run resource\n3. On the **JSON** tab, note the following fields:\n\n - `resource`:\n - `project_display_name`: the name of the project that contains the affected Cloud Run resource\n - `finding`:\n - `processes`:\n - `binary`:\n - `path`: the full path of the executed binary\n - `args`: the arguments that were provided when the binary was executed\n4. Identify other findings that occurred at a similar time for the affected\n container. Related findings might indicate that this activity was malicious,\n instead of a failure to follow best practices.\n\n5. Review the settings of the affected container.\n\n6. Check the logs for the affected container.\n\nResearch attack and response methods\n\n1. Review MITRE ATT\\&CK framework entry for this finding type: [Obtain Capabilities: Tool](https://attack.mitre.org/techniques/T1588/002/).\n2. To develop a response plan, combine your investigation results with MITRE research.\n\nImplement your response\n\nFor response recommendations, see [Respond to Cloud Run threat\nfindings](/security-command-center/docs/respond-cloud-run-threats).\n\nWhat's next\n\n- Learn [how to work with threat\n findings in Security Command Center](/security-command-center/docs/how-to-investigate-threats).\n- Refer to the [Threat findings index](/security-command-center/docs/threat-findings-index).\n- Learn how to [review a\n finding](/security-command-center/docs/how-to-investigate-threats#reviewing_findings) through the Google Cloud console.\n- Learn about the [services that\n generate threat findings](/security-command-center/docs/concepts-security-sources#threats)."]]
