Execução: Python malicioso executado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um modelo de machine learning identificou um código Python executado como malicioso. Os invasores podem usar o Python para transferir ferramentas e executar comandos sem binários. Manter os contêineres imutáveis é uma prática importante. O uso de scripts para transferir ferramentas imita a técnica de transferência de ferramentas de entrada do invasor e pode resultar em detecções indesejadas.

Serviço de detecção

Detecção de ameaças do Cloud Run

Como responder

Para responder a essa descoberta, faça o seguinte:

Analisar os detalhes da descoberta

1. Abra a descoberta Execution: Malicious Python executed, conforme direcionado em Como verificar descobertas. Analise os detalhes nas guias Resumo e JSON.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • Binário do programa: detalhes sobre o interpretador que invocou o script.
     • Script: caminho absoluto do nome do script no disco. Esse atributo só aparece para scripts gravados em disco, não para execução de scripts literais, por exemplo, python3 -c
     • Argumentos: os argumentos fornecidos ao invocar o script.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso do recurso afetado do Cloud Run
   • Links relacionados, principalmente os seguintes campos:
     • Indicador do VirusTotal: link para a página de análise do VirusTotal

3. Na guia JSON, observe os seguintes campos:

   • finding:
     • processes:
     • script:
       • contents: conteúdo do script executado, que pode ser truncado por motivos de desempenho. Isso pode ajudar na sua investigação.
       • sha256: o hash SHA-256 de script.contents
   • resource:
     • project_display_name: o nome do projeto que contém o recurso.

4. Procure descobertas relacionadas que ocorreram em um momento semelhante para o contêiner afetado. Por exemplo, se o script descartar um binário, verifique se há descobertas relacionadas a ele. Essas descobertas podem indicar que a atividade foi maliciosa, em vez de uma falha em seguir as práticas recomendadas.

5. Revise as configurações do contêiner afetado.

6. Verifique os registros do contêiner afetado.

Pesquisar métodos de ataque e resposta

1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Intérprete de comandos e scripts e Transferência de ferramentas de entrada.
2. Verifique o valor de hash SHA-256 do binário sinalizado como malicioso no VirusTotal clicando no link em Indicador do VirusTotal. O VirusTotal é um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.