Elevación de privilegios: Creación de vinculaciones de Kubernetes sensibles

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Para elevar privilegios, un agente potencialmente malicioso intentó crear un objeto RoleBinding o ClusterRoleBinding nuevo para el rol cluster-admin.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre el hallazgo de Privilege Escalation: Creation of sensitive Kubernetes bindings como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Correo electrónico principal: Es la cuenta que realizó la llamada.
     • Vinculaciones de Kubernetes: Es la vinculación sensible de Kubernetes o ClusterRoleBinding que se creó.
   • Recurso afectado, en especial los siguientes campos:
     • Nombre visible del recurso: Es el clúster de Kubernetes en el que se produjo la acción.
   • Vínculos relacionados, en especial los siguientes campos:
     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados

Paso 2: Comprueba los registros

1. En la pestaña Resumen de los detalles del hallazgo en la consola de Google Cloud , haz clic en el vínculo del campo URI de Cloud Logging para ir al Explorador de registros.

2. Verifica otras acciones que realizó el principal con los siguientes filtros:

   • resource.labels.cluster_name="CLUSTER_NAME"

   • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

     Reemplaza lo siguiente:

   • CLUSTER_NAME: Es el valor que anotaste en el campo Nombre visible del recurso en los detalles del hallazgo.

   • PRINCIPAL_EMAIL: El valor que anotaste en el campo Correo electrónico del principal en los detalles del hallazgo.

Paso 3: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Elevación de privilegios.
2. Confirma la sensibilidad de la vinculación creada y si los roles son necesarios para los sujetos.
3. En las vinculaciones, puedes comprobar el sujeto y determinar si necesita el rol al que está vinculado.
4. Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros.

5. Si el correo electrónico principal no es una cuenta de servicio, comunícate con el propietario de la cuenta para confirmar si el propietario legítimo realizó la acción.

   Si el correo electrónico principal es una cuenta de servicio (IAM o Kubernetes), identifica el origen de la acción para determinar su legitimidad.

6. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.