反向 shell

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

通过流式传输重定向到远程连接的套接字的过程。如果大量生成网络连接的 shell，则攻击者可能会在有限的初始入侵后执行任意操作。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Reverse Shell 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 程序二进制文件：在流重定向到远程套接字时启动的进程的绝对路径。
     • 参数：调用进程二进制文件时提供的参数。
   • 受影响的资源，尤其是以下字段：
     • 资源全名：集群的完整资源名称。
     • 项目全名：受影响的 Google Cloud 项目。
   • 相关链接，尤其是以下字段：
     • VirusTotal 指示器：指向 VirusTotal 分析页面的链接。

3. 在发现结果的详情视图中，点击 JSON 标签页。

4. 在 JSON 中，请注意以下字段。

   • resource：
     • project_display_name：包含资产的项目的名称。
   • sourceProperties：
     • Pod_Namespace：Pod 的 Kubernetes 命名空间的名称。
     • Pod_Name：GKE Pod 的名称。
     • Container_Name：受影响的容器的名称。
     • VM_Instance_Name：在其中执行 Pod 的 GKE 节点的名称。
     • Reverse_Shell_Stdin_Redirection_Dst_Ip：连接的远程 IP 地址
     • Reverse_Shell_Stdin_Redirection_Dst_Port：远程端口
     • Reverse_Shell_Stdin_Redirection_Src_Ip：连接的本地 IP 地址
     • Reverse_Shell_Stdin_Redirection_Src_Port：本地端口
     • Container_Image_Uri：要执行的容器映像的名称。

第 2 步：查看集群和节点

1. 在 Google Cloud 控制台中，前往 Kubernetes 集群页面。

   转到 KUBERNETES 集群

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 选择 resource.name 中列出的集群。请记下有关集群及其所有者的所有元数据。

4. 点击节点标签页。选择 VM_Instance_Name 中列出的节点。

5. 点击详细信息标签页，并记下 container.googleapis.com/instance_id 注解。

第 3 步：审核 Pod

1. 在 Google Cloud 控制台中，前往 Kubernetes 工作负载页面。

   转到“Kubernetes 工作负载”

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 如有必要，对 resource.name 中列出的集群和 Pod_Namespace 中列出的 Pod 命名空间进行过滤。

4. 选择 Pod_Name 中列出的 Pod。请记下有关 Pod 及其所有者的所有元数据。

第 4 步：检查日志

1. 在 Google Cloud 控制台中，前往 Logs Explorer。

   前往 Logs Explorer

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 将选择时间范围设置为感兴趣的时间段。

4. 在加载的页面上，执行以下操作：

   1. 使用以下过滤条件查找 Pod_Name 的 Pod 日志：
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. 使用以下过滤条件查找集群审核日志：
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. 使用以下过滤条件查找 GKE 节点控制台日志：
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

第 5 步：检查正在运行的容器

如果容器仍在运行，则或许可以直接检查容器环境。

1. 前往 Google Cloud 控制台。

   打开 Google Cloud 控制台

2. 如有必要，在 Google Cloud 控制台工具栏中选择 resource.project_display_name 中列出的项目。

3. 点击激活 Cloud Shell。

4. 通过运行以下命令获取集群的 GKE 凭据。

   对于可用区级集群：

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   对于区域级集群：

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. 通过运行以下命令，在容器环境中启动 shell：

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   此命令要求容器在 /bin/sh 处安装 shell。

   如需查看在容器中运行的所有进程，请在容器 shell 中运行以下命令：

     ps axjf
   

   此命令要求容器安装 /bin/ps。

第 6 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：Command and Scripting Interpreter、Ingress Tool Transfer。
2. 点击 VirusTotal 指标中的链接，以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务，提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
3. 如需制定响应方案，请将您的调查结果与 MITRE 研究和 VirusTotal 分析相结合。

第 7 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 与容器遭入侵的项目的所有者联系。
• 停止或删除遭入侵的容器，并将其替换为新容器。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。