Ausführung: Kubernetes-Pod mit Argumenten eines potenziellen Reverse-Shell-Angriffs erstellt

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Jemand hat einen Pod erstellt, der Befehle oder Argumente enthält, die häufig mit einer Reverse Shell in Verbindung gebracht werden. Angreifer verwenden Reverse Shells, um ihren anfänglichen Zugriff auf einen Cluster zu erweitern oder aufrechtzuerhalten und beliebige Befehle auszuführen. Weitere Informationen finden Sie in der Log-Meldung für diese Benachrichtigung.

So reagieren Sie

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

  1. Bestätigen Sie, dass der Pod einen rechtmäßigen Grund hat, diese Befehle und Argumente anzugeben.
  2. Stellen Sie fest, ob die Audit-Logs in Cloud Logging weitere Anzeichen für schädliche Aktivitäten des Pods oder Hauptkontos enthalten.
  3. Wenn das Hauptkonto kein IAM- oder Kubernetes-Dienstkonto ist, lassen Sie sich vom rechtmäßigen Inhaber des Kontos bestätigen, dass er die Aktion ausgeführt hat.
  4. Wenn das Hauptkonto ein IAM- oder Kubernetes-Dienstkonto ist, stellen Sie fest, ob der Grund für die Ausführung dieser Aktion durch das Dienstkonto rechtmäßig ist.
  5. Wenn der Pod nicht rechtmäßig ist, entfernen Sie ihn zusammen mit allen zugehörigen RBAC-Bindungen und Dienstkonten, die von der Arbeitslast verwendet wurden und die seine Erstellung zugelassen haben.

Nächste Schritte