已执行恶意脚本

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

机器学习模型将执行的 Bash 代码识别为恶意代码。攻击者可以利用 Bash 来转移工具，并在不使用二进制文件的情况下执行命令。保持容器不可变是一项重要的实践。 使用脚本转移工具会模仿攻击者采用的入站流量工具转移技术，从而导致不必要的检测。

检测服务

Cloud Run 威胁检测

如何应答

如需响应此发现结果，请执行以下操作：

查看发现结果详情

1. 按照查看发现结果中所述，打开 Malicious Script Executed 发现结果。 查看摘要和 JSON 标签页上的详细信息。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 程序二进制文件：有关调用脚本的解释器的详细信息
     • 脚本：磁盘上的脚本名称的绝对路径；此属性仅会针对写入磁盘的脚本显示，不会针对字面量脚本执行显示，例如 bash -c
     • 实参：调用脚本时提供的实参
   • 受影响的资源，尤其是以下字段：
     • 资源全名：受影响的 Cloud Run 资源的完整资源名称
   • 相关链接，尤其是以下字段：
     • VirusTotal 指示器：指向 VirusTotal 分析页面的链接

3. 在 JSON 标签页上，记下以下字段：

   • finding：
     • processes：
     • script：
       • contents：所执行脚本的内容，可能会因性能原因而截断；这有助于您的调查
       • sha256：script.contents 的 SHA-256 哈希
   • resource：
     • project_display_name：包含资产的项目的名称。

4. 查找受影响的容器在相似时间发生的相关发现结果。例如，如果脚本删除了二进制文件，请检查与该二进制文件相关的发现结果。此类发现结果可能表明此活动是恶意活动，而不是未遵循最佳实践。

5. 查看受影响容器的设置。

6. 检查受影响容器的日志。

研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：Command and Scripting Interpreter 和 Ingress Tool Transfer。
2. 点击 VirusTotal 指标中的链接，以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务，提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
3. 如需制定响应方案，请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。

实现响应

如需了解响应建议，请参阅响应 Cloud Run 威胁发现。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。