權限提升:建立機密 Kubernetes 繫結

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

為提升權限,可能有惡意的行為人試圖為 cluster-admin 角色建立新的 RoleBindingClusterRoleBinding 物件。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一節的指示,開啟 Privilege Escalation: Creation of sensitive Kubernetes bindings 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 主體電子郵件地址:發出呼叫的帳戶。
      • Kubernetes 繫結:建立的機密 Kubernetes 繫結或 ClusterRoleBinding
    • 受影響的資源,尤其是下列欄位:
      • 資源顯示名稱:發生動作的 Kubernetes 叢集。
    • 相關連結,尤其是下列欄位:
      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。

步驟 2:檢查記錄

  1. 在 Google Cloud 控制台的「發現項目詳細資料」分頁中,按一下「Cloud Logging URI」欄位中的連結,前往「記錄檔探索工具」

  2. 使用下列篩選器,檢查主體執行的其他動作:

    • resource.labels.cluster_name="CLUSTER_NAME"

    • protoPayload.authenticationInfo.principalEmail="PRINCIPAL_EMAIL"

      更改下列內容:

    • CLUSTER_NAME:您在調查結果詳細資料的「資源顯示名稱」欄位中記下的值。

    • PRINCIPAL_EMAIL:您在調查結果詳細資料的「主要電子郵件」欄位中記錄的值。

步驟 3:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 權限提升
  2. 確認建立的繫結機密程度,以及主體是否需要這些角色。
  3. 您可以檢查繫結的主體,並調查該主體是否需要繫結的角色。
  4. 判斷記錄中是否有其他跡象,表明主體進行了惡意活動。

  5. 如果主體電子郵件地址並非服務帳戶,請與帳戶擁有者聯絡,確認正當擁有者是否執行了該項操作。

    如果主體電子郵件地址為服務帳戶 (IAM 或 Kubernetes),請找出操作來源來判斷正當性。

  6. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

後續步驟