執行：已執行惡意 Python

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

機器學習模型判斷執行的 Python 程式碼含有惡意內容。攻擊者可以使用 Python 轉移工具及執行指令，不必使用二進位檔。確保容器不可變是重要的做法。使用指令碼轉移工具會模擬攻擊者的「入侵工具轉移」技術，可能導致不必要的偵測結果。

偵測服務

Cloud Run 威脅偵測

回應方式

如要回應這項發現，請按照下列步驟操作：

查看發現項目詳細資料

1. 按照「查看結果」一文的指示，開啟 Execution: Malicious Python executed 發現項目。查看「摘要」和「JSON」分頁中的詳細資料。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 程式二進位檔：叫用指令碼的解譯器相關詳細資料
     • 指令碼：磁碟上指令碼名稱的絕對路徑；這個屬性只會顯示寫入磁碟的指令碼，不會顯示字面值指令碼執行作業，例如 python3 -c
     • 引數：呼叫指令碼時提供的引數
   • 受影響的資源，尤其是下列欄位：
     • 完整資源名稱：受影響 Cloud Run 資源的完整資源名稱
   • 相關連結，尤其是下列欄位：
     • VirusTotal 指標：連結至 VirusTotal 分析頁面

3. 在「JSON」分頁中，請注意下列欄位：

   • finding：
     • processes：
     • script：
       • contents：執行的指令碼內容，可能因效能考量而遭到截斷；這有助於您進行調查
       • sha256：script.contents 的 SHA-256 雜湊值
   • resource：
     • project_display_name：包含資產的專案名稱。

4. 找出受影響容器在類似時間發生的相關發現項目。舉例來說，如果指令碼會捨棄二進位檔，請檢查與該二進位檔相關的發現項目。這類發現可能表示該活動是惡意行為，而非未遵循最佳做法。

5. 查看受影響容器的設定。

6. 檢查受影響容器的記錄。

研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目： 命令和指令碼 解譯器和 傳入工具轉移。
2. 在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值，方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務，可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
3. 如要制定回應計畫，請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

實作回覆內容

如需回應建議，請參閱「回應 Cloud Run 威脅發現」。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。