Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.
Ringkasan
Proses dimulai dengan pengalihan aliran ke soket yang terhubung dari jarak jauh. Memunculkan shell yang terhubung ke jaringan dapat memungkinkan penyerang melakukan tindakan arbitrer setelah penyusupan awal yang terbatas.
Cara merespons
Untuk menanggapi temuan ini, lakukan hal berikut:
Langkah 1: Tinjau detail temuan
Buka temuan
Reverse Shellseperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.Di tab Summary, tinjau informasi di bagian berikut:
- Apa yang terdeteksi, terutama kolom berikut:
- Biner program: jalur absolut dari proses yang dimulai dengan pengalihan aliran ke soket jarak jauh.
- Argumen: argumen yang diberikan saat memanggil biner proses.
- Resource yang terpengaruh, terutama kolom berikut:
- Nama lengkap resource: Nama lengkap resource cluster.
- Nama lengkap project: project Google Cloud yang terpengaruh.
- Link terkait, terutama kolom berikut:
- Indikator VirusTotal: link ke halaman analisis VirusTotal.
- Apa yang terdeteksi, terutama kolom berikut:
Di tampilan detail temuan, klik tab JSON.
Dalam JSON, perhatikan kolom berikut.
resource:project_display_name: nama project yang berisi aset.
sourceProperties:Pod_Namespace: nama namespace Kubernetes Pod.Pod_Name: nama Pod GKE.Container_Name: nama container yang terpengaruh.VM_Instance_Name: nama node GKE tempat Pod dieksekusi.Reverse_Shell_Stdin_Redirection_Dst_Ip: alamat IP jarak jauh koneksiReverse_Shell_Stdin_Redirection_Dst_Port: port jarak jauhReverse_Shell_Stdin_Redirection_Src_Ip: alamat IP lokal koneksiReverse_Shell_Stdin_Redirection_Src_Port: port lokalContainer_Image_Uri: nama image container yang sedang dieksekusi.
Langkah 2: Tinjau cluster dan node
Di konsol Google Cloud , buka halaman Kubernetes clusters.
Di toolbar konsol Google Cloud , pilih project yang tercantum di
resource.project_display_name, jika perlu.Pilih cluster yang tercantum di
resource.name. Catat metadata apa pun tentang cluster dan pemiliknya.Klik tab Nodes. Pilih node yang tercantum di
VM_Instance_Name.Klik tab Detail dan perhatikan anotasi
container.googleapis.com/instance_id.
Langkah 3: Tinjau Pod
Di konsol Google Cloud , buka halaman Kubernetes Workloads.
Di toolbar konsol Google Cloud , pilih project yang tercantum di
resource.project_display_name, jika perlu.Filter pada cluster yang tercantum di
resource.namedan namespace Pod yang tercantum diPod_Namespace, jika perlu.Pilih Pod yang tercantum di
Pod_Name. Catat metadata apa pun tentang Pod dan pemiliknya.
Langkah 4: Periksa log
Di konsol Google Cloud , buka Logs Explorer.
Di toolbar konsol Google Cloud , pilih project yang tercantum di
resource.project_display_name, jika perlu.Setel Pilih rentang waktu ke periode yang diinginkan.
Di halaman yang terbuka, lakukan hal berikut:
- Temukan log Pod untuk
Pod_Namemenggunakan filter berikut:resource.type="k8s_container"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"resource.labels.namespace_name="Pod_Namespace"resource.labels.pod_name="Pod_Name"
- Temukan log audit cluster menggunakan filter berikut:
logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"resource.type="k8s_cluster"resource.labels.project_id="resource.project_display_name"resource.labels.location="location"resource.labels.cluster_name="cluster_name"Pod_Name
- Temukan log konsol node GKE menggunakan filter berikut:
resource.type="gce_instance"resource.labels.instance_id="instance_id"
- Temukan log Pod untuk
Langkah 5: Selidiki container yang sedang berjalan
Jika container masih berjalan, Anda mungkin dapat menyelidiki lingkungan container secara langsung.
Buka konsol Google Cloud .
Di toolbar konsol Google Cloud , pilih project yang tercantum di
resource.project_display_name, jika perlu.Klik Activate Cloud Shell.
Dapatkan kredensial GKE untuk cluster Anda dengan menjalankan perintah berikut.
Untuk cluster zona:
gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_nameUntuk cluster regional:
gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_nameLuncurkan shell dalam lingkungan container dengan menjalankan:
kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/shPerintah ini mengharuskan container memiliki shell yang diinstal di
/bin/sh.Untuk melihat semua proses yang berjalan di container, jalankan perintah berikut di shell container:
ps axjfPerintah ini mengharuskan container menginstal
/bin/ps.
Langkah 6: Meneliti metode serangan dan respons
- Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Command and Scripting Interpreter, Ingress Tool Transfer.
- Periksa nilai hash SHA-256 untuk file biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
- Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE dan analisis VirusTotal.
Langkah 7: Terapkan respons Anda
Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.
- Hubungi pemilik project dengan penampung yang disusupi.
- Hentikan atau hapus container yang terkompromi dan ganti dengan container baru.
Langkah berikutnya
- Pelajari cara menangani temuan ancaman di Security Command Center.
- Lihat Indeks temuan ancaman.
- Pelajari cara meninjau temuan melalui konsol Google Cloud .
- Pelajari layanan yang menghasilkan temuan ancaman.