执行:已执行恶意 Python

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

机器学习模型将执行的 Python 代码识别为恶意代码。 攻击者可以利用 Python 来转移工具,并在不使用二进制文件的情况下执行命令。确保容器不可变是重要的最佳实践。 使用脚本转移工具可能会模仿攻击者采用的入站流量工具转移技术,从而导致不必要的检测。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Execution: Malicious Python executed 发现结果。系统会打开发现结果详细信息面板,以显示摘要标签页。

  2. 摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:
      • 程序二进制文件:有关调用脚本的解释器的详细信息。
      • 脚本:磁盘上的脚本名称的绝对路径;此属性仅会针对写入磁盘的脚本显示,不会针对字面量脚本执行显示,例如 python3 -c
      • 参数:调用脚本时提供的参数。
    • 受影响的资源,尤其是以下字段:
      • 资源全名:集群的完整资源名称,其中包括项目编号、位置和集群名称。
    • 相关链接,尤其是以下字段:
      • VirusTotal 指示器:指向 VirusTotal 分析页面的链接。

  3. 在发现结果的详情视图中,点击 JSON 标签页。

  4. 在 JSON 中,请注意以下字段。

    • finding
      • processes
      • script
        • contents:所执行脚本的内容,可能会因性能原因而截断;这有助于您的调查
        • sha256script.contents 的 SHA-256 哈希
    • resource
      • project_display_name:包含资产的项目的名称。
    • sourceProperties
      • Pod_Namespace:Pod 的 Kubernetes 命名空间的名称。
      • Pod_Name:GKE Pod 的名称。
      • Container_Name:受影响的容器的名称。
      • Container_Image_Uri:要执行的容器映像的名称。
      • VM_Instance_Name:在其中执行 Pod 的 GKE 节点的名称。

  5. 识别此容器在相似时间发生的其他发现结果。例如,如果脚本删除了二进制文件,请检查与该二进制文件相关的发现结果。

第 2 步:查看集群和节点

  1. 在 Google Cloud 控制台中,前往 Kubernetes 集群页面。

    转到 KUBERNETES 集群

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 选择发现结果详情摘要标签页中资源全名行上列出的集群。请记下有关集群及其所有者的所有元数据。

  4. 点击节点标签页。选择 VM_Instance_Name 中列出的节点。

  5. 点击详细信息标签页,并记下 container.googleapis.com/instance_id 注解。

第 3 步:审核 Pod

  1. 在 Google Cloud 控制台中,前往 Kubernetes 工作负载页面。

    转到“Kubernetes 工作负载”

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 如有必要,对 resource.name 中列出的集群和 Pod_Namespace 中列出的 Pod 命名空间进行过滤。

  4. 选择 Pod_Name 中列出的 Pod。请记下有关 Pod 及其所有者的所有元数据。

第 4 步:检查日志

  1. 在 Google Cloud 控制台中,前往 Logs Explorer

    前往 Logs Explorer

  2. 如有必要,在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

  3. 选择时间范围设置为感兴趣的时间段。

  4. 在加载的页面上,执行以下操作:

    1. 使用以下过滤条件查找 Pod_Name 的 Pod 日志:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. 使用以下过滤条件查找集群审核日志:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. 使用以下过滤条件查找 GKE 节点控制台日志:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

第 5 步:检查正在运行的容器

如果容器仍在运行,则或许可以直接检查容器环境。

  1. 在 Google Cloud 控制台中,前往 Kubernetes 集群页面。

    转到 KUBERNETES 集群

  2. 点击 resource.labels.cluster_name 中显示的集群的名称。

  3. 集群页面上,点击连接,然后点击在 Cloud Shell 中运行

    Cloud Shell 将在终端中为集群启动和添加命令。

  4. Enter 键,如果出现为 Cloud Shell 提供授权对话框,请点击授权

  5. 通过运行以下命令连接到容器环境:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh

    此命令要求容器在 /bin/sh 处安装 shell。

第 6 步:研究攻击和响应方法

  1. 查看此发现类型的 MITRE ATT&CK 框架条目:Command and Scripting InterpreterIngress Tool Transfer
  2. 点击 VirusTotal 指标中的链接,以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务,提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
  3. 如需制定响应方案,请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。

第 7 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

  • 如果 Python 对容器进行了预期的更改,请重新构建容器映像,以免需要进行更改。这样一来,容器就可以是不可变的
  • 否则,与容器遭入侵的项目的所有者联系。
  • 停止或删除遭入侵的容器,并将其替换为新容器

后续步骤