Execução: binário malicioso modificado executado

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

Um binário incluído na imagem do contêiner original foi executado. O binário foi modificado durante o ambiente de execução do contêiner e identificado como malicioso com base na inteligência contra ameaças.

Os invasores geralmente instalam ferramentas de exploração e malware após o comprometimento inicial.

Serviço de detecção

Detecção de ameaças do Cloud Run

Como responder

Para responder a essa descoberta, faça o seguinte:

Analisar os detalhes da descoberta

  1. Abra a descoberta Execution: Modified Malicious Binary Executed, conforme direcionado em Como verificar descobertas. Analise os detalhes nas guias Resumo e JSON.

  2. Na guia Resumo, confira as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Binário do programa: o caminho absoluto do binário modificado.
      • Argumentos: os argumentos fornecidos quando o binário modificado foi invocado.
      • Contêineres: o nome do contêiner afetado.
      • URI dos contêineres: o nome da imagem do contêiner que está sendo implantada
    • Recurso afetado, especialmente os seguintes campos:
    • Links relacionados, principalmente o seguinte campo:
      • Indicador do VirusTotal: link para a página de análise do VirusTotal

  3. Procure descobertas relacionadas que ocorreram em um momento semelhante para o contêiner afetado. Essas descobertas podem indicar que a atividade era maliciosa, em vez de uma falha em seguir as práticas recomendadas.

  4. Revise as configurações do contêiner afetado.

  5. Verifique os registros do contêiner afetado.

Pesquisar métodos de ataque e resposta

  1. Revise as entradas do framework MITRE ATT&CK para esse tipo de descoberta: Transferência de ferramenta de entrada e API nativa.
  2. Verifique o valor de hash SHA-256 do binário sinalizado como malicioso no VirusTotal clicando no link em Indicador do VirusTotal. O VirusTotal é um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
  3. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE e a análise do VirusTotal.

Implementar a resposta

Para recomendações de resposta, consulte Responder a descobertas de ameaças do Cloud Run.

A seguir