זוהתה כתובת URL זדונית

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה באינדקס ממצאי האיומים.

סקירה כללית

התכונה 'זיהוי איומים בקונטיינר' זיהתה כתובת URL זדונית ברשימת הארגומנטים של תהליך הפעלה. תוקפים יכולים לטעון תוכנות זדוניות או ספריות זדוניות באמצעות כתובות URL זדוניות.

זיהוי איומים בקונטיינר הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

  1. פותחים ממצא Malicious URL Observed כמו שמתואר במאמר בדיקת ממצאים. חלונית הפרטים של הממצא תיפתח בכרטיסייה סיכום.

  2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

    • מה זוהה, במיוחד השדות הבאים:
      • URI: ה-URI הזדוני שנצפה.
      • Added binary: הנתיב המלא של קובץ ההפעלה של התהליך שקיבל את הארגומנטים שמכילים את כתובת ה-URL הזדונית.
      • ארגומנטים: הארגומנטים שסופקו כשמפעילים את הקובץ הבינארי של התהליך.
      • משתני סביבה: משתני הסביבה שהיו בתוקף כשקובץ הבינארי של התהליך הופעל.
      • Containers: שם הקונטיינר.
      • Kubernetes pods: שם ה-pod ומרחב השמות.
    • מקור המידע שהושפע, במיוחד השדות הבאים:
      • השם המוצג של המשאב: השם של המשאב המושפע.
      • שם המשאב המלא: שם המשאב המלא של האשכול. השם המלא של המשאב כולל את הפרטים הבאים:
        • הפרויקט שמכיל את האשכול: projects/PROJECT_ID
        • המיקום שבו נמצא האשכול: zone/ZONE או locations/LOCATION
        • שם האשכול: projects/CLUSTER_NAME
    • קישורים רלוונטיים, במיוחד השדות הבאים:
      • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal.

  3. בכרטיסייה JSON, במאפיין sourceProperties, מציינים את הערך של המאפיין VM_Instance_Name.

שלב 2: בדיקת האשכול והצומת

  1. נכנסים לדף Kubernetes clusters במסוף Google Cloud .

    מעבר אל Kubernetes clusters

  2. בסרגל הכלים של Google Cloud המסוף, בוחרים את הפרויקט שמופיע בשם המשאב המלא (resource.name), אם צריך. שם הפרויקט מופיע אחרי /projects/ בשם המלא של המשאב.

  3. לוחצים על שם האשכול שרשמתם בשם המשאב שמוצג (resource.display_name) בסיכום הממצאים. הדף Clusters נפתח.

  4. בקטע Metadata בדף **פרטי האשכול, מציינים את כל המידע שהוגדר על ידי המשתמש שיכול לעזור בפתרון האיום, כמו מידע שמזהה את הבעלים של האשכול.

  5. לוחצים על הכרטיסייה Nodes (צמתים).

  6. מתוך הצמתים שמופיעים ברשימה, בוחרים את הצומת שתואם לערך של VM_Instance_Name שציינתם קודם ב-JSON של הממצא.

  7. בכרטיסייה פרטים בדף פרטי הצומת, בקטע הערות, מציינים את הערך של ההערה container.googleapis.com/instance_id.

שלב 3: בדיקת הפודקאסט

  1. נכנסים לדף Kubernetes Workloads במסוף Google Cloud .

    עוברים אל Kubernetes Workloads

  2. בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שצוין בשם המשאב המלא (resource.name) של האשכול בסיכום הממצאים, אם צריך.

  3. לוחצים על הצגת עומסי עבודה של המערכת.

  4. מסננים את רשימת עומסי העבודה לפי שם האשכול שרשמתם בשם המשאב המלא (resource.name) של סיכום הממצאים, ואם צריך, לפי מרחב השמות (kubernetes.pods.ns) של ה-Pod שרשמתם.

  5. לוחצים על שם עומס העבודה שתואם לערך של המאפיין VM_Instance_Name שציינתם קודם ב-JSON של הממצא. ייפתח הדף Pod details.

  6. בדף פרטי הפוד, כדאי לשים לב לכל מידע על הפוד שיכול לעזור לכם לפתור את האיום.

שלב 4: בדיקת היומנים

  1. במסוף Google Cloud , עוברים אל Logs Explorer.

    כניסה לדף Logs Explorer

  2. בסרגל הכלים של Google Cloud המסוף, בוחרים את הפרויקט שמופיע בשם המשאב המלא (resource.name), אם צריך.

  3. מגדירים את בחירת טווח זמן לתקופה הרצויה.

  4. בדף שנטען, מבצעים את הפעולות הבאות:

    1. כדי למצוא את יומני ה-Pod של ה-Pod שלכם (kubernetes.pods.name), משתמשים במסנן הבא:
      • resource.type="k8s_container"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION"
      • resource.labels.cluster_name="CLUSTER_NAME"
      • resource.labels.namespace_name="NAMESPACE_NAME"
      • resource.labels.pod_name="POD_NAME"
    2. כדי למצוא יומני ביקורת של אשכול, משתמשים במסנן הבא:
      • logName="projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="PROJECT_ID"
      • resource.labels.location="LOCATION_OR_ZONE"
      • resource.labels.cluster_name="CLUSTER_NAME/var>"
      • POD_NAME
    3. כדי למצוא יומני מסוף של צומתי GKE, משתמשים במסנן הבא:
      • resource.type="gce_instance"
      • resource.labels.instance_id="INSTANCE_ID"

שלב 5: בדיקת מאגר התגים הפעיל

אם הקונטיינר עדיין פועל, יכול להיות שאפשר לבדוק את סביבת הקונטיינר ישירות.

  1. נכנסים לדף Kubernetes clusters במסוף Google Cloud .

    מעבר אל Kubernetes clusters

  2. לוחצים על שם האשכול שמוצג ב-resource.labels.cluster_name.

  3. בדף Clusters (אשכולות), לוחצים על Connect (קישור) ואז על Run in Cloud Shell (הפעלה ב-Cloud Shell).

    מערכת Cloud Shell מפעילה את הטרמינל ומוסיפה אליו פקודות לאשכול.

  4. מקישים על Enter, ואם מופיעה תיבת הדו-שיח Authorize Cloud Shell, לוחצים על Authorize.

  5. מריצים את הפקודה הבאה כדי להתחבר לסביבת הקונטיינר:

      kubectl exec --namespace=POD_NAMESPACE -ti POD_NAME -c CONTAINER_NAME -- /bin/sh

    מחליפים את CONTAINER_NAME בשם של הקונטיינר שרשמתם קודם בסיכום הממצאים.

    כדי להשתמש בפקודה הזו, צריך להתקין מעטפת במיקום /bin/sh במאגר.

שלב 6: מחקר של שיטות התקפה ותגובה

  1. כדי לקבל פרטים על הסיבה לכך שכתובת ה-URL מסווגת כזדונית, אפשר לבדוק את סטטוס האתר בגלישה הבטוחה.
  2. כדאי לעיין ברשומות של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Ingress Tool Transfer.
  3. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
  4. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

שלב 7: מיישמים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך החקירה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

  • צריך לפנות לבעלים של הפרויקט עם מאגר התגים שנפרץ.
  • מפסיקים את השימוש במאגר התגים שנפרץ או מוחקים אותו ומחליפים אותו במאגר תגים חדש.

המאמרים הבאים