Esta página se ha traducido con Cloud Translation API.

Secuencia de comandos maliciosa ejecutada

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Un modelo de aprendizaje automático ha identificado código Bash ejecutado como malicioso. Los atacantes pueden usar Bash para transferir herramientas y ejecutar comandos sin archivos binarios. Mantener tus contenedores inmutables es una práctica importante. El uso de secuencias de comandos para transferir herramientas imita la técnica de transferencia de herramientas de entrada de los atacantes y da lugar a detecciones no deseadas.

Servicio de detección

Cloud Run Threat Detection

Cómo responder

Para responder a esta observación, sigue estos pasos:

Consultar los detalles de los resultados

Abre el Malicious Script Executed tal como se indica en el artículo Revisar los resultados. Consulta los detalles en las pestañas Resumen y JSON.
En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Binario de programa: detalles sobre el intérprete que ha invocado la secuencia de comandos.
  - Script: ruta absoluta del nombre de la secuencia de comandos en el disco. Este atributo solo aparece en las secuencias de comandos escritas en el disco, no en la ejecución literal de la secuencia de comandos (por ejemplo, bash -c).
  - Argumentos: los argumentos proporcionados al invocar la secuencia de comandos.
- Recurso afectado, especialmente los siguientes campos:
  - Nombre completo del recurso: el nombre completo del recurso de Cloud Run afectado
- Enlaces relacionados, especialmente el siguiente campo:
  - Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.
En la pestaña JSON, anota los siguientes campos:
- finding:
  - processes:
  - script:
    - contents: contenido de la secuencia de comandos ejecutada, que puede truncarse por motivos de rendimiento. Esto puede ayudarte en tu investigación.
    - sha256: el hash SHA-256 de script.contents
- resource:
  - project_display_name: el nombre del proyecto que contiene el recurso.
Busca hallazgos relacionados que se hayan producido a una hora similar en el contenedor afectado. Por ejemplo, si la secuencia de comandos deja caer un archivo binario, busca resultados relacionados con el archivo binario. Estos resultados pueden indicar que la actividad era maliciosa, en lugar de que no se hayan seguido las prácticas recomendadas.
Revisa la configuración del contenedor afectado.
Consulta los registros del contenedor afectado.

Investigar métodos de ataque y respuesta

Consulta las entradas del framework ATT&CK de MITRE para este tipo de hallazgo: Intérprete de comandos y de secuencias de comandos y Transferencia de herramienta de entrada.
Comprueba el valor del hash SHA-256 del archivo binario marcado como malicioso en VirusTotal haciendo clic en el enlace del indicador de VirusTotal. VirusTotal es un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE y el análisis de VirusTotal.

Implementar tu respuesta

Para obtener recomendaciones sobre cómo responder, consulta Responder a las detecciones de amenazas de Cloud Run.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.