偵測到惡意網址

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

Container Threat Detection 在可執行程序的引數清單中發現惡意網址。攻擊者可以透過惡意網址載入惡意軟體或惡意程式庫。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Malicious URL Observed 發現項目。系統會開啟該發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • URI:偵測到的惡意 URI。
      • 新增的二進位檔:接收含有惡意網址引數的程序二進位檔完整路徑。
      • 引數:叫用程序二進位檔時提供的引數。
      • 環境變數:叫用程序二進位檔時生效的環境變數。
      • 容器:容器名稱。
      • Kubernetes Pod:Pod 名稱和命名空間。
    • 受影響的資源,尤其是下列欄位:
      • 資源顯示名稱:受影響資源的名稱。
      • 完整資源名稱:叢集的完整資源名稱。完整資源名稱包含下列資訊:
        • 含有叢集的專案:projects/PROJECT_ID
        • 叢集所在位置:zone/ZONElocations/LOCATION
        • 叢集名稱:projects/CLUSTER_NAME
    • 相關連結,尤其是下列欄位:
      • VirusTotal 指標:連結至 VirusTotal 分析頁面。

  3. 在「JSON」分頁中,記下 sourceProperties 屬性中 VM_Instance_Name 屬性的值。

步驟 2:檢查叢集和節點

  1. 在 Google Cloud 控制台中,前往「Kubernetes clusters」(Kubernetes 叢集) 頁面。

    前往 Kubernetes 叢集

  2. 在 Google Cloud 控制台工具列中,選取「資源全名」(resource.name) 中顯示的專案 (如有必要)。專案名稱會顯示在完整資源名稱的 /projects/ 後方。

  3. 按一下您在調查結果摘要「資源顯示名稱」(resource.display_name) 中記下的叢集名稱。「Clusters」(叢集) 頁面隨即開啟。

  4. 在「叢集詳細資料」頁面的「中繼資料」部分,記下任何有助於解決威脅的使用者定義資訊,例如可識別叢集擁有者的資訊。

  5. 按一下「節點」分頁標籤。

  6. 從列出的節點中,選取與您先前在發現項目 JSON 中記下的 VM_Instance_Name 值相符的節點。

  7. 在「Node details」(節點詳細資料) 頁面的「Details」(詳細資料) 分頁中,於「Annotations」(註解) 區段記下 container.googleapis.com/instance_id 註解的值。

步驟 3:檢查 Pod

  1. 前往 Google Cloud 控制台的「Kubernetes Workloads」(Kubernetes 工作負載) 頁面。

    前往 Kubernetes 工作負載

  2. 如有需要,請在 Google Cloud 控制台工具列中,選取您在叢集「資源完整名稱」 (resource.name) 中記下的專案。

  3. 按一下「顯示系統工作負載」

  4. 依據您在「資源完整名稱」 (resource.name) 發現摘要中記下的叢集名稱,篩選工作負載清單,並視需要依據您記下的 Pod「命名空間」 (kubernetes.pods.ns) 篩選。

  5. 按一下與您先前在發現項目 JSON 中記下的 VM_Instance_Name 屬性值相符的工作負載名稱。「Pod details」(Pod 詳細資料) 頁面隨即開啟。

  6. 在「Pod 詳細資料」頁面中,記下 Pod 的任何資訊,這可能有助於解決威脅。

步驟 4:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 在 Google Cloud 控制台工具列中,選取「資源全名」(resource.name) 中顯示的專案 (如有必要)。

  3. 將「選取時間範圍」設為感興趣的時間範圍。

  4. 在隨即載入的頁面中,執行下列操作:

    1. 使用下列篩選器,找出 Pod (kubernetes.pods.name) 的 Pod 記錄:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
    2. 使用下列篩選器尋找叢集稽核記錄:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
    3. 使用下列篩選器,找出 GKE 節點控制台記錄:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

步驟 5:調查執行中的容器

如果容器仍在執行,或許可以直接調查容器環境。

  1. 在 Google Cloud 控制台中,前往「Kubernetes clusters」(Kubernetes 叢集) 頁面。

    前往 Kubernetes 叢集

  2. 按一下 resource.labels.cluster_name 中顯示的叢集名稱。

  3. 在「叢集」頁面中,按一下「連線」,然後點選「在 Cloud Shell 中執行」

    Cloud Shell 會啟動,並在終端機中新增叢集的指令。

  4. 按下 Enter 鍵,如果出現「Authorize Cloud Shell」(授權 Cloud Shell) 對話方塊,請按一下「Authorize」(授權)

  5. 執行下列指令,連線至容器環境:

      kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh

    CONTAINER_NAME 換成您稍早記下的容器名稱。

    這項指令需要容器在 /bin/sh 安裝 Shell。

步驟 6:研究攻擊和回應方法

  1. 查看安全瀏覽網站狀態,瞭解網址遭歸類為惡意的原因。
  2. 查看這類發現的 MITRE ATT&CK 架構項目: 輸入工具轉送
  3. VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值,方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
  4. 如要制定回應計畫,請將調查結果與 MITRE 研究和 VirusTotal 分析結果合併。

步驟 7:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 與遭入侵的容器所屬專案擁有者聯絡。
  • 停止或刪除遭入侵的容器,並換成新容器

後續步驟