Shell enfant inattendu

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Container Threat Detection a observé un processus qui a généré de manière inattendue un processus shell enfant. Cet événement peut indiquer qu'un pirate informatique tente d'abuser des commandes et des scripts shell.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Unexpected Child Shell comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Processus parent : processus qui a créé de manière inattendue le processus shell enfant.
     • Processus enfant : processus shell enfant.
     • Arguments : arguments fournis au binaire du processus shell enfant.
     • Variables d'environnement : variables d'environnement du binaire du processus shell enfant.
     • Conteneurs : nom du conteneur.
     • URI des conteneurs : URI de l'image du conteneur.
     • Pods Kubernetes : nom et espace de noms du pod.
   • Ressource concernée, en particulier les champs suivants :
     • Nom à afficher de la ressource : nom de la ressource concernée.
     • Nom complet de la ressource : nom complet de la ressource du cluster. Le nom complet de la ressource inclut les informations suivantes :
       • Projet contenant le cluster : projects/PROJECT_ID
       • Emplacement du cluster : zone/ZONE ou locations/LOCATION
       • Nom du cluster : projects/CLUSTER_NAME
   • Liens associés, en particulier les champs suivants :
     • Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.

3. Cliquez sur l'onglet JSON et notez les champs suivants :

+processes : tableau contenant tous les processus liés au résultat. Ce tableau inclut le processus shell enfant et le processus parent. +resource: +project_display_name : nom du projet contenant les composants. +sourceProperties: +VM_Instance_Name : nom du nœud GKE sur lequel le pod a été exécuté.

Étape 2 : Vérifier le cluster et le nœud

1. Dans la console Google Cloud , accédez à la page Clusters Kubernetes.

   Accéder à la page "Clusters Kubernetes"

2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet listé dans resource.project_display_name, si nécessaire.

3. Sélectionnez le cluster répertorié dans resource.name. Notez toutes les métadonnées concernant le cluster et son propriétaire.

4. Cliquez sur l'onglet Nœuds. Sélectionnez le nœud répertorié dans VM_Instance_Name.

5. Cliquez sur l'onglet Détails et notez l'annotation container.googleapis.com/instance_id.

Étape 3 : Examiner le pod

1. Dans la console Google Cloud , accédez à la page Charges de travail Kubernetes.

   Accéder à la page "Charges de travail Kubernetes"

2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet que vous avez noté dans le nom complet de la ressource (resource.name) du cluster dans le récapitulatif du résultat, si nécessaire.

3. Cliquez sur Afficher les charges de travail du système.

4. Filtrez la liste des charges de travail par le nom du cluster que vous avez noté dans Nom complet de la ressource (resource.name) du récapitulatif de la découverte et, si nécessaire, l'espace de noms du pod (kubernetes.pods.ns) que vous avez noté.

5. Cliquez sur le nom de la charge de travail qui correspond à la valeur de la propriété VM_Instance_Name que vous avez notée précédemment dans le JSON du résultat. La page Détails du pod s'ouvre.

6. Sur la page Détails du pod, notez toutes les informations sur le pod qui pourraient vous aider à résoudre la menace.

Étape 4 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

   Accéder à l'explorateur de journaux

2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet listé dans resource.project_display_name.

3. Définissez Sélectionner une période sur la période qui vous intéresse.

4. Sur la page qui s'affiche, procédez comme suit :

   1. Recherchez Pod_Name dans les journaux des pods à l'aide du filtre suivant :
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
   2. Recherchez les journaux d'audit du cluster à l'aide du filtre suivant :
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
   3. Recherchez les journaux de la console de nœud GKE à l'aide du filtre suivant :
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

Étape 5 : Examiner le conteneur en cours d'exécution

Si le conteneur est toujours en cours d'exécution, il peut être possible d'analyser directement l'environnement du conteneur.

1. Accédez à la console Google Cloud .

   Ouvrir la console Google Cloud

2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet listé dans resource.project_display_name.

3. Cliquez sur Activer Cloud Shell.

4. Obtenez les identifiants GKE pour votre cluster en exécutant les commandes suivantes.

   Pour les clusters zonaux, exécutez la commande suivante :

     gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name
   

   Pour les clusters régionaux, exécutez la commande suivante :

     gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name
   

5. Pour lancer une interface système dans l'environnement de conteneur, exécutez la commande suivante :

     kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh
   

   Pour ce faire, une interface système est installée sur le conteneur à l'adresse /bin/sh.

   Pour afficher tous les processus exécutés dans le conteneur, exécutez la commande suivante dans l'interface système du conteneur :

     ps axjf
   

   L'exécution de cette commande nécessite l'installation de /bin/ps sur le conteneur.

Étape 6 : Étudier les méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Interpréteur de commandes et de scripts : Shell Unix.
2. Vérifiez la valeur de hachage SHA-256 du fichier binaire signalé comme malveillant sur VirusTotal en cliquant sur le lien dans l'indicateur VirusTotal. VirusTotal est un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.
3. Pour élaborer un plan d'intervention, combinez les résultats de vos enquêtes avec les recherches MITRE et l'analyse VirusTotal.

Étape 7 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du projet contenant le conteneur compromis.
• Arrêtez ou supprimez le conteneur compromis et remplacez-le par un nouveau conteneur.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces