意外的子 shell

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

Cloud Run 威胁检测观察到有一个进程意外生成了子 shell 进程。此事件可能表示有攻击者正在尝试滥用 shell 命令和脚本。

如需响应此发现结果，请执行以下操作：

按照查看发现结果中所述，打开 Unexpected Child Shell 发现结果。查看摘要和 JSON 标签页上的详细信息。
在摘要标签页上，查看以下部分中的信息：
- 检测到的内容，尤其是以下字段：
  - 父进程：意外创建了子 shell 进程的进程
  - 子进程：子 shell 进程
  - 参数：提供给子 shell 进程二进制文件的参数
  - 环境变量：子 shell 进程二进制文件的环境变量
  - 容器：容器的名称
  - 容器 URI：容器的映像 URI
- 受影响的资源，尤其是以下字段：
  - 资源显示名称：受影响资源的名称。
  - 资源全名：受影响的 Cloud Run 资源的完整资源名称
- 相关链接，尤其是以下字段：
  - VirusTotal 指标：指向 VirusTotal 分析页面的链接
在 JSON 标签页上，记下以下字段：
- processes：包含与发现结果相关的所有进程的数组。此数组包含子 shell 进程和父进程。
- resource：
  - project_display_name：包含相关资产的项目的名称。
查找系统在接近的时间为受影响的容器生成的相关发现结果。此类发现结果可能表明存在恶意活动，而不是因未能遵循最佳实践而产生的后果。
查看受影响容器的设置。
检查受影响容器的日志。

查看此类型的发现结果的 MITRE ATT&CK 框架条目：命令和脚本解释器：Unix Shell。
点击 VirusTotal 指标中的链接，以检查 VirusTotal 上标记为恶意内容的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务，可提供有关潜在恶意文件、网址、网域和 IP 地址的上下文信息。
如需制定响应方案，请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。