Diese Seite wurde von der Cloud Translation API übersetzt.

Rechteausweitung: Abrufen einer Kubernetes-CSR mit manipulierten Bootstrap-Anmeldedaten

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Zur Ausweitung der Rechte hat ein potenziell böswilliger Akteur mit dem Befehl kubectl die Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) abgefragt und dazu manipulierte Bootstrap-Anmeldedaten verwendet.

Das ist ein Beispiel für einen Befehl, der von dieser Regel erkannt wird:

kubectl --client-certificate kubelet.crt --client-key kubelet.key --server YOUR_SERVER get csr CSR_NAME

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

Öffnen Sie das Privilege Escalation: Get Kubernetes CSR with compromised bootstrap credentials-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.
Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:
- Was wurde erkannt?, insbesondere die folgenden Felder:
  - Hauptkonto-E-Mail-Adresse: Das Konto, mit dem der Anruf getätigt wurde.
  - Methodenname: Die aufgerufene Methode.
- Unter Betroffene Ressource:
  - Anzeigename der Ressource: Der Kubernetes-Cluster, in dem die Aktion ausgeführt wurde.
- Weitere Informationen, insbesondere die folgenden Felder:
  - Cloud Logging-URI: Link zu Logging-Einträgen.
  - MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
  - Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.

Schritt 2: Protokolle prüfen

Wenn der Methodenname, den Sie in den Details des Ergebnisses im Feld Method name (Methodenname) notiert haben, eine GET-Methode ist, gehen Sie so vor:

Rufen Sie auf dem Tab Zusammenfassung der Funddetails in der Google Cloud -Konsole den Log-Explorer auf. Klicken Sie dazu auf den Link im Feld Cloud Logging-URI.
Prüfen Sie den Wert im Feld protoPayload.resourceName, um die spezifische Anfrage zur Zertifikatsignierung zu ermitteln.

Schritt 3: Forschungsangriffe und Reaktionsmethoden

Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Rechteausweitung.
Wenn die betreffende CSR im Logeintrag verfügbar ist, prüfen Sie die Vertraulichkeit des Zertifikats und finden Sie heraus, ob die Aktion gerechtfertigt war.
Wenn Sie einen Reaktionsplan entwickeln möchten, kombinieren Sie Ihre Untersuchungsergebnisse mit der MITRE-Forschung.

Nächste Schritte

Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
Dienste, die Bedrohungsbefunde generieren