Evasión de defensa: Solicitud de firma de certificado (CSR) borrada manualmente

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

Alguien borró manualmente una solicitud de firma de certificado (CSR). Los CSR se quitan automáticamente con un controlador de recolección de elementos no utilizados, pero los actores maliciosos podrían borrarlos de forma manual para evadir la detección. Si la CSR borrada era para un certificado aprobado y emitido, el agente potencialmente malicioso ahora tiene un método de autenticación adicional para acceder al clúster. Los permisos asociados con el certificado varían según el sujeto que incluyan, pero pueden ser altamente privilegiados. Kubernetes no admite la revocación de certificados. Para obtener más detalles, consulta el mensaje de registro de esta alerta.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para responder a este hallazgo, haz lo siguiente:

1. Revisa los registros de auditoría en Cloud Logging y las alertas adicionales para otros eventos relacionados con esta CSR con el propósito de determinar si se approved y si su creación era una actividad esperada por parte de la principal.
2. Determina si hay otros indicios de actividad maliciosa por parte de la principal en los registros de auditoría de Cloud Logging. Por ejemplo:
   • ¿La principal que borró la CSR era diferente de la que la creó o aprobó?
   • ¿La principal intentó solicitar, crear, aprobar o borrar otras CSR?
3. Si no se esperaba una aprobación de CSR o se determina que es maliciosa, el clúster requerirá una rotación de credenciales para invalidar el certificado. Revisa la guía para realizar una rotación de las credenciales del clúster.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.