Diese Seite bietet eine allgemeine Übersicht über die Konzepte und Features von Container Threat Detection.
Was ist Container Threat Detection?
Container Threat Detection ist ein integrierter Dienst von Security Command Center, der kontinuierlich den Zustand von Container-Optimized OS-Knoten-Images überwacht. Der Dienst wertet alle Änderungen und Remote-Zugriffsversuche aus, um Laufzeitangriffe nahezu in Echtzeit zu erkennen.
Container Threat Detection erkennt die gängigsten Containerlaufzeit-Angriffe und benachrichtigt Sie in Security Command Center und optional in Cloud Logging. Container Threat Detection umfasst mehrere Erkennungsfunktionen, einschließlich verdächtiger Binärdateien und Bibliotheken, und erkennt schädlichen Bash- und Python-Code mithilfe von Natural Language Processing (NLP).
Container Threat Detection ist nur in der Premium- oder Enterprise-Stufe von Security Command Center verfügbar.
Funktionsweise von Container Threat Detection
Die Container Threat Detection-Erkennung erfasst Low-Level-Verhalten im Gast-Kernel und in ausgeführten Skripts. Wenn Ereignisse erkannt werden, sieht der Ausführungspfad so aus:
Container Threat Detection übergibt Ereignisinformationen und Informationen, die den Container ermitteln, über ein DaemonSet im Nutzermodus zur Analyse an einen Detektordienst. Die Ereigniserfassung wird automatisch konfiguriert, wenn Container Threat Detection aktiviert ist.
Das Watcher-DaemonSet übergibt Containerinformationen nach Möglichkeit. Containerinformationen können aus dem gemeldeten Ergebnis entfernt werden, wenn Kubernetes und die Containerlaufzeit die entsprechenden Containerinformationen nicht rechtzeitig liefern.
Der Erkennungsdienst analysiert Ereignisse, um festzustellen, ob ein Ereignis auf einen Vorfall hindeutet. Die Bash- und Python-Skripts werden mit NLP analysiert, um festzustellen, ob der ausgeführte Code schädlich ist.
Wenn der Detektordienst einen Vorfall identifiziert, wird der Vorfall als Ergebnis in Security Command Center und optional in Cloud Logging geschrieben.
- Wenn der Detektordienst keinen Vorfall identifiziert, werden die Informationen nicht gespeichert.
- Alle Daten im Kernel und im Detektordienst sind sitzungsspezifisch und werden nicht dauerhaft gespeichert.
Sie können Ergebnisdetails in der Security Command Center Console ansehen und die Ergebnisinformationen untersuchen. Ob Sie Ergebnisse aufrufen und bearbeiten können, hängt von den Rollen ab, die Ihnen zugewiesen wurden. Weitere Informationen zu Security Command Center-Rollen finden Sie unter Zugriffssteuerung.
Hinweise
Andere Sicherheitstools, die in Ihrem Cluster installiert sind, können die Leistung von Container Threat Detection beeinträchtigen und zu Fehlfunktionen führen. Wir empfehlen, dass Sie keine anderen Tools zur Sicherheitserkennung in Ihrem Cluster installiert haben, wenn der Cluster bereits durch Container Threat Detection geschützt ist.
Überlegungen zur Verwendung von Detektoren für die Dateiprüfung
Container Threat Detection umfasst eine Reihe von Detektoren, die Dateioperationen überwachen und nach Zugriffen auf oder Änderungen an kritischen Systemdateien suchen. Diese Detektoren überwachen Dateivorgänge, die auf dem Knoten ausgeführt werden. Bei Arbeitslasten mit erheblichen Datei-E/A-Vorgängen, z. B. CI/CD-Systemen, kann es zu Leistungseinbußen kommen, wenn diese Detektoren aktiviert sind. Um unerwartete Auswirkungen zu vermeiden, sind diese Detektoren standardmäßig deaktiviert. Die Beschreibung jedes Detektors enthält einen Link zu einer Anleitung zum Aktivieren. Es wird empfohlen, die Auswirkungen auf Arbeitslasten zu bewerten, bevor Sie die Detektoren für die Dateiprüfung in der Produktion aktivieren.
Container Threat Detection-Detektoren
Container Threat Detection umfasst die folgenden Detektoren:
| Detektor | Modul | Beschreibung | Eingaben für die Erkennung |
|---|---|---|---|
| Ausgeführte Binärdatei hinzugeführt | ADDED_BINARY_EXECUTED |
Eine Binärdatei, die nicht Teil des ursprünglichen Container-Image war, wurde ausgeführt. Wenn eine hinzugefügte Binärdatei von einem Angreifer ausgeführt wird, ist dies möglicherweise ein Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und beliebige Befehle ausführt. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. Die Ergebnisse werden als Gering eingestuft. |
Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war oder vom ursprünglichen Container-Image geändert wurde. |
| Hinzugefügte Mediathek geladen | ADDED_LIBRARY_LOADED |
Eine Bibliothek, die nicht Teil des ursprünglichen Container-Image war, wurde geladen. Wenn eine hinzugefügte Bibliothek geladen wird, ist der Angreifer möglicherweise in der Lage, die Arbeitslast zu steuern und beliebigen Code auszuführen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. Die Ergebnisse werden als Gering eingestuft. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war oder gegenüber dem ursprünglichen Container-Image geändert wurde. |
| Sammlung: Pam.d-Änderung (Vorschau) | PAM_D_MODIFICATION |
Eine der Binär- oder Konfigurationsdateien im Verzeichnis PAM wird häufig für die Authentifizierung in Linux verwendet. Angreifer können die Binärdateien oder Konfigurationsdateien ändern, um einen dauerhaften Zugriff zu erhalten. Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Dieser Detector überwacht Änderungen an den PAM-Bibliotheksdateien und den zugehörigen Autorisierungskonfigurationsdateien. |
| Command and Control: Steganographie-Tool erkannt | STEGANOGRAPHY_TOOL_DETECTED |
Es wurde ein Programm ausgeführt, das als Steganografie-Tool identifiziert wurde, das häufig in Unix-ähnlichen Umgebungen zu finden ist. Dies deutet auf einen möglichen Versuch hin, die Kommunikation oder den Datentransfer zu verschleiern. Angreifer können steganografische Techniken nutzen, um schädliche Befehle zur Steuerung und Kontrolle (C2, Command-and-Control) oder exfiltrierte Daten in scheinbar harmlosen digitalen Dateien einzubetten, um die standardmäßige Sicherheitsüberwachung und ‑erkennung zu umgehen. Die Verwendung solcher Tools zu erkennen ist entscheidend, um verborgene schädliche Aktivitäten aufzudecken. Die Ergebnisse werden als Kritisch eingestuft. |
Dieser Detektor überwacht die Ausführung bekannter Steganographie-Tools. Das Vorhandensein solcher Tools deutet auf einen bewussten Versuch hin, den Netzwerkverkehr zu verschleiern oder Daten zu exfiltrieren, wodurch möglicherweise verdeckte Kommunikationskanäle für böswillige Zwecke eingerichtet werden. |
| Zugriff auf Anmeldedaten: Auf vertrauliche Dateien auf Knoten zugreifen (Vorschau) | ACCESS_SENSITIVE_FILES_ON_NODES |
Es wurde ein Programm ausgeführt, das auf Angreifer können auf Autorisierungsdateien zugreifen, um Kennworthashes zu kopieren. Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Der Detector sucht nach Zugriffen auf sensible Systemdateien wie /etc/shadow- und SSH-authorized_keys-Dateien.
|
| Zugriff auf Anmeldedaten: Finden Google Cloud Anmeldedaten | FIND_GCP_CREDENTIALS |
Es wurde ein Befehl ausgeführt, um im Container nach Google Cloud privaten Schlüsseln, Passwörtern oder anderen vertraulichen Anmeldedaten zu suchen. Ein Angreifer könnte gestohlene Google Cloud Anmeldedaten verwenden, um sich unrechtmäßigen Zugriff auf vertrauliche Daten oder Ressourcen in der Zielumgebung Google Cloud zu verschaffen. Die Ergebnisse werden als Gering eingestuft. Dieser Detektor ist standardmäßig deaktiviert. Die Ergebnisse werden standardmäßig als Gering eingestuft. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Bei dieser Erkennung werden find- oder grep-Befehle überwacht, mit denen versucht wird, Dateien zu finden, die Google Cloud-Anmeldedaten enthalten.
|
| Zugriff auf Anmeldedaten: Ausspähung von GPG-Schlüsseln | GPG_KEY_RECONNAISSANCE |
Es wurde ein Befehl ausgeführt, um nach GPG-Sicherheitsschlüsseln zu suchen. Ein Angreifer könnte gestohlene GPG-Sicherheitsschlüssel verwenden, um sich unbefugten Zugriff auf verschlüsselte Kommunikation oder Dateien zu verschaffen. Die Ergebnisse werden als Kritisch eingestuft. |
Dieser Detektor überwacht find- oder grep-Befehle, mit denen versucht wird, GPG-Sicherheitsschlüssel zu finden.
|
| Zugriff auf Anmeldedaten: Suche nach privaten Schlüsseln oder Passwörtern | SEARCH_PRIVATE_KEYS_OR_PASSWORDS |
Es wurde ein Befehl ausgeführt, um in der Containerumgebung nach privaten Schlüsseln, Passwörtern oder anderen vertraulichen Anmeldedaten zu suchen. Dies deutet auf einen möglichen Versuch hin, Authentifizierungsdaten zu sammeln. Angreifer suchen häufig nach Anmeldedatendateien, um unbefugten Zugriff auf Systeme zu erhalten, Berechtigungen zu eskalieren oder sich lateral in der Umgebung zu bewegen. Die Erkennung solcher Aktivitäten ist entscheidend, um Sicherheitsverstöße zu verhindern. Die Ergebnisse werden als Gering eingestuft. |
Dieser Detektor überwacht bekannte Befehle, die zum Auffinden privater Schlüssel, Passwörter oder Anmeldedateien verwendet werden. Das Vorhandensein solcher Suchanfragen in einer containerisierten Umgebung kann auf Aufklärungsversuche oder einen aktiven Angriff hindeuten. |
| Umgehung von Abwehrmaßnahmen: Base64-codierte ELF-Cmdline-Datei | BASE64_ELF_FILE_CMDLINE |
Es wurde ein Prozess ausgeführt, der ein Argument enthält, das eine ELF-Datei (Executable and Linkable Format) ist. Wenn die Ausführung einer codierten ELF-Datei erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer können diese Technik verwenden, um die Erkennung zu umgehen und schädlichen Code auszuführen, der in eine ELF-Datei eingebettet ist. Die Ergebnisse werden als Mittel eingestuft. |
Bei dieser Erkennung werden Prozessargumente überwacht, die ELF enthalten und base64-codiert sind.
|
| Umgehung von Abwehrmaßnahmen: Base64-codiertes Python-Script ausgeführt | BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED |
Es wurde ein Prozess ausgeführt, der ein Argument enthält, das ein base64-codiertes Python-Script ist. Wenn die Ausführung eines codierten Python-Skripts erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer können diese Technik verwenden, um die Erkennung zu umgehen und schädlichen Code auszuführen, der in ein Python-Skript eingebettet ist. Die Ergebnisse werden als Mittel eingestuft. |
Bei dieser Erkennung werden Prozessargumente überwacht, die verschiedene Formen von python -c enthalten und Base64-codiert sind.
|
| Umgehung von Abwehrmaßnahmen: Base64-codiertes Shell-Script ausgeführt | BASE64_ENCODED_SHELL_SCRIPT_EXECUTED |
Es wurde ein Prozess ausgeführt, der ein Argument enthält, das ein base64-codiertes Shell-Script ist. Wenn die Ausführung eines codierten Shell-Skripts erkannt wird, ist das ein Signal dafür, dass ein Angreifer versucht, Binärdaten für die Übertragung an reine ASCII-Befehlszeilen zu codieren. Angreifer können diese Technik nutzen, um die Erkennung zu umgehen und schädlichen Code auszuführen, der in ein Shell-Skript eingebettet ist. Die Ergebnisse werden als Mittel eingestuft. |
Bei dieser Erkennung werden Prozessargumente überwacht, um alle zu finden, die verschiedene Formen von Shell-Befehlen enthalten, die Base64-codiert sind. |
| Defense Evasion: Linux-Audit-System deaktivieren oder ändern (Vorschau) | DISABLE_OR_MODIFY_LINUX_AUDIT_SYSTEM |
Eine der Konfigurations- oder Protokolldateien des Auditsystems wurde geändert. Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Dieser Detector überwacht Änderungen an Logging-Konfigurationen, z. B. Änderungen an Konfigurationsdateien oder bestimmten Befehlen, sowie das Deaktivieren von Logging-Diensten wie journalctl oder auditctl.
|
| Umgehung von Abwehrmaßnahmen: Compiler-Tool für Code im Container gestartet | LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER |
Es wurde ein Prozess zum Starten eines Code-Compiler-Tools in der Containerumgebung initiiert. Dies deutet auf einen potenziellen Versuch hin, ausführbaren Code in einem isolierten Kontext zu erstellen oder zu ändern. Angreifer können Code-Compiler in Containern verwenden, um schädliche Nutzlasten zu entwickeln, Code in vorhandene Binärdateien einzufügen oder Tools zu erstellen, um Sicherheitskontrollen zu umgehen. Dabei agieren sie in einer Umgebung, die weniger genau geprüft wird, um die Erkennung auf dem Hostsystem zu umgehen. Die Ergebnisse werden als Gering eingestuft. |
Dieser Detektor überwacht die Ausführung bekannter Code-Compiler-Tools in Containern. Das Vorhandensein solcher Aktivitäten deutet auf einen potenziellen Versuch hin, bösartigen Code im Container zu entwickeln oder zu ändern, möglicherweise als Taktik zur Umgehung von Sicherheitsmaßnahmen, um Systemkomponenten oder Clientsoftware zu manipulieren. |
| Defense Evasion: Root-Zertifikat installiert (Vorschau) | ROOT_CERTIFICATE_INSTALLED |
Auf dem Knoten wurde ein Root-Zertifikat installiert. Angreifer installieren möglicherweise ein Root-Zertifikat, um Sicherheitswarnungen zu vermeiden, wenn sie Verbindungen zu ihren schädlichen Webservern herstellen. Angreifer könnten Man-in-the-Middle-Angriffe ausführen und sensible Daten abfangen, die zwischen dem Opfer und den Servern des Angreifers ausgetauscht werden, ohne dass Warnungen ausgelöst werden. Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Dieser Detektor überwacht Änderungen an der Root-Zertifikatsdatei. |
| Ausführung: Hinzugefügtes schädliches Binärprogramm ausgeführt | ADDED_MALICIOUS_BINARY_EXECUTED |
Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine hinzugefügte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach einer Binärdatei, die nicht Teil des ursprünglichen Container-Image war und anhand von Threat Intelligence als schädlich identifiziert wurde. |
| Ausführung: Hinzugefügte schädliche Bibliothek geladen | ADDED_MALICIOUS_LIBRARY_LOADED |
Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:
Wenn eine hinzugefügte schädliche Bibliothek geladen wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach einer geladenen Bibliothek, die nicht Teil des ursprünglichen Container-Image war und anhand von Threat Intelligence als schädlich identifiziert wurde. |
| Ausführung: Integriertes schädliches Binärprogramm ausgeführt | BUILT_IN_MALICIOUS_BINARY_EXECUTED |
Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn ein integriertes schädliches Binärprogramm ausgeführt wird, ist dies ein Zeichen dafür, dass der Angreifer schädliche Container bereitstellt. Sie haben möglicherweise die Kontrolle über ein legitimes Image-Repository oder eine Container-Build-Pipeline erlangt und eine schädliche Binärdatei in das Container-Image eingefügt. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach einer Binärdatei, die im ursprünglichen Container-Image enthalten war und anhand von Threat Intelligence als schädlich identifiziert wurde. |
| Ausführung: Container-Escape | CONTAINER_ESCAPE |
Im Container wurde ein Prozess ausgeführt, der versucht hat, die Isolation des Containers zu durchbrechen. Dadurch könnte der Angreifer Zugriff auf das Hostsystem erhalten. Wenn ein Container-Escape-Versuch erkannt wird, deutet dies möglicherweise darauf hin, dass ein Angreifer Sicherheitslücken ausnutzt, um aus dem Container auszubrechen. Dadurch kann der Angreifer unbefugten Zugriff auf das Hostsystem oder die gesamte Infrastruktur erhalten und die gesamte Umgebung gefährden. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detector überwacht Prozesse, die versuchen, Containergrenzen mit bekannten Escape-Techniken oder Binärdateien auszunutzen. Diese Prozesse werden von Threat Intelligence als potenzielle Angriffe auf das zugrunde liegende Hostsystem gekennzeichnet. |
| Ausführung: Dateilose Ausführung in /memfd: | FILELESS_EXECUTION_DETECTION_MEMFD |
Ein Prozess wurde mit einem speicherinternen Dateideskriptor ausgeführt. Wenn ein Prozess über eine Datei im Arbeitsspeicher gestartet wird, deutet dies möglicherweise darauf hin, dass ein Angreifer versucht, andere Erkennungsmethoden zu umgehen, um schädlichen Code auszuführen. Die Ergebnisse werden als Hoch eingestuft. |
Der Detektor überwacht Prozesse, die über /memfd: ausgeführt werden.
|
| Ausführung: Ausführung der Sicherheitslücke „Ingress Nightmare“ (Vorschau) | INGRESS_NIGHTMARE_VULNERABILITY_EXPLOITATION |
Die Ausführung von CVE-2025-1974 kann erkannt werden, indem Nginx-Ausführungen mit Argumenten überwacht werden, die Verweise auf das
Diese Art von Sicherheitslücken kann es böswilligen Akteuren ermöglichen, beliebigen Code im Die Ergebnisse werden als Mittel eingestuft. |
Dieser Detector überwacht den ingress-nginx-Container auf Nginx-Ausführungen mit Argumenten, die Verweise auf das /proc-Dateisystem enthalten, was auf eine mögliche Ausführung von Remote-Code hinweist.
|
| Ausführung: Ausführung eines Kubernetes-Angriffstools | KUBERNETES_ATTACK_TOOL_EXECUTION |
In der Umgebung wurde ein Kubernetes-spezifisches Angriffstool ausgeführt. Dies könnte darauf hindeuten, dass ein Angreifer Kubernetes-Clusterkomponenten angreift. Wenn ein Angriffstool in der Kubernetes-Umgebung ausgeführt wird, kann dies darauf hindeuten, dass ein Angreifer Zugriff auf den Cluster erhalten hat und das Tool verwendet, um Kubernetes-spezifische Sicherheitslücken oder Konfigurationen auszunutzen. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detector sucht nach Kubernetes-Angriffstools, die ausgeführt werden und anhand von Informationen als potenzielle Bedrohungen identifiziert werden. Der Detector löst Benachrichtigungen aus, um potenzielle Manipulationen im Cluster zu verhindern. |
| Ausführung: Ausführung eines lokalen Ausspähtools | LOCAL_RECONNAISSANCE_TOOL_EXECUTION |
Ein lokales Aufklärungstool, das normalerweise nicht mit dem Container oder der Umgebung verknüpft ist, wurde ausgeführt. Dies deutet auf einen Versuch hin, interne Systeminformationen zu sammeln. Wenn ein Aufklärungstool ausgeführt wird, deutet dies darauf hin, dass der Angreifer möglicherweise versucht, die Infrastruktur zu kartieren, Schwachstellen zu identifizieren oder Daten zu Systemkonfigurationen zu sammeln, um seine nächsten Schritte zu planen. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detector überwacht die Ausführung bekannter Aufklärungstools in der Umgebung, die durch Threat Intelligence identifiziert werden. Dies könnte auf die Vorbereitung auf schädlichere Aktivitäten hindeuten. |
| Ausführung: Schädlicher Python-Code ausgeführt | MALICIOUS_PYTHON_EXECUTED |
Ein ML-Modell (maschinelles Lernen) hat den angegebenen Python-Code als schädlich identifiziert. Angreifer können Python verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor verwendet NLP-Techniken, um den Inhalt von ausgeführtem Python-Code zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue Python-Schadsoftware identifizieren. |
| Ausführung: Geändertes schädliches Binärprogramm ausgeführt | MODIFIED_MALICIOUS_BINARY_EXECUTED |
Eine Binärdatei, die die folgenden Bedingungen erfüllt, wurde ausgeführt:
Wenn eine modifizierte schädliche Binärdatei ausgeführt wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und Schadsoftware ausführt. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach einer Binärdatei, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und anhand von Threat Intelligence als schädlich identifiziert wurde. |
| Ausführung: Geänderte schädliche Bibliothek geladen | MODIFIED_MALICIOUS_LIBRARY_LOADED |
Es wurde eine Bibliothek geladen, die die folgenden Bedingungen erfüllt:
Wenn eine modifizierte schädliche Bibliothek geladen wird, ist dies ein starkes Zeichen dafür, dass ein Angreifer die Kontrolle über die Arbeitslast hat und schädliche Software ausführt. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach einer geladenen Bibliothek, die ursprünglich im Container-Image enthalten war, aber während der Laufzeit geändert wurde und anhand von Bedrohungsdaten als schädlich identifiziert wurde. |
| Ausführung: Netcat-Remote-Codeausführung im Container | NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER |
Netcat, ein vielseitiges Netzwerkdienstprogramm, wurde in der Containerumgebung ausgeführt, was möglicherweise auf einen Versuch hindeutet, unbefugten Remotezugriff einzurichten oder Daten zu exfiltrieren. Die Verwendung von Netcat in einer containerisierten Umgebung kann darauf hindeuten, dass ein Angreifer versucht, eine Reverse Shell zu erstellen, die laterale Bewegung zu ermöglichen oder beliebige Befehle auszuführen, was die Systemintegrität gefährden könnte. Die Ergebnisse werden als Gering eingestuft. |
Der Detector überwacht die Netcat-Ausführung im Container, da die Verwendung in Produktionsumgebungen ungewöhnlich ist und auf einen Versuch hindeuten kann, Sicherheitskontrollen zu umgehen oder Remote-Befehle auszuführen. |
| Ausführung: Mögliche Ausführung beliebiger Befehle über CUPS (CVE-2024-47177) | POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS |
Ein Nutzer ohne Rootberechtigung hat
Mit dieser Regel wird erkannt, wenn der Die Ergebnisse werden als Kritisch eingestuft. |
Der Detector sucht nach shell-Prozessen, die untergeordnete Prozesse des foomatic-rip-Prozesses sind.
|
| Ausführung: Mögliche Remote-Befehlsausführung erkannt | POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED |
Es wurde ein Prozess erkannt, der über eine Netzwerk-Socket-Verbindung allgemeine UNIX-Befehle ausführt. Dies deutet auf einen potenziellen Versuch hin, unautorisierte Remote-Befehlsausführungsfunktionen einzurichten. Angreifer nutzen häufig Techniken, die Reverse Shells ähneln, um die interaktive Kontrolle über ein kompromittiertes System zu erlangen. So können sie beliebige Befehle aus der Ferne ausführen und standardmäßige Netzwerksicherheitsmaßnahmen wie Firewallbeschränkungen umgehen. Die Erkennung der Befehlsausführung über einen Socket ist ein starker Hinweis auf böswilligen Remotezugriff. Die Ergebnisse werden als Mittel eingestuft. |
Dieser Detector überwacht die Erstellung von Netzwerk-Sockets, gefolgt von der Ausführung von Standard-UNIX-Shell-Befehlen. Dieses Muster deutet auf den Versuch hin, einen verdeckten Kanal für die Ausführung von Remote-Befehlen zu erstellen, wodurch möglicherweise weitere schädliche Aktivitäten auf dem kompromittierten Host ermöglicht werden. |
| Ausführung: Programm mit nicht zulässiger HTTP-Proxy-Umgebung ausgeführt | PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV |
Ein Programm wurde mit einer nicht zulässigen HTTP-Proxy-Umgebungsvariable ausgeführt. Dies kann auf einen Versuch hindeuten, Sicherheitskontrollen zu umgehen, Traffic für schädliche Zwecke umzuleiten oder Daten über nicht autorisierte Kanäle zu exfiltrieren. Angreifer können nicht zulässige HTTP-Proxys konfigurieren, um vertrauliche Informationen abzufangen, Traffic über bösartige Server weiterzuleiten oder verdeckte Kommunikationskanäle einzurichten. Die Erkennung der Ausführung von Programmen mit diesen Umgebungsvariablen ist entscheidend für die Aufrechterhaltung der Netzwerksicherheit und die Verhinderung von Datenlecks. Die Ergebnisse werden als Gering eingestuft. |
Dieser Detektor überwacht die Ausführung von Programmen mit HTTP-Proxy-Umgebungsvariablen, die ausdrücklich nicht zulässig sind. Die Verwendung dieser Proxys, insbesondere wenn sie unerwartet erfolgt, kann auf böswillige Aktivitäten hindeuten und erfordert eine sofortige Untersuchung. |
| Ausführung: Socat-Reverse-Shell erkannt | SOCAT_REVERSE_SHELL_DETECTED |
Der Befehl Diese Regel erkennt die Ausführung von socat zum Erstellen einer Reverse-Shell durch Umleiten der Dateideskriptoren für stdin, stdout und stderr. Dies ist eine gängige Methode, mit der Angreifer Remotezugriff auf ein kompromittiertes System erhalten. Die Ergebnisse werden als Mittel eingestuft. |
Der Detector sucht nach shell-Prozessen, die untergeordnete Prozesse eines socat-Prozesses sind.
|
| Ausführung: Verdächtige Cron-Änderung (Vorschau) | SUSPICIOUS_CRON_MODIFICATION |
Eine
Änderungen an Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Dieser Detektor überwacht cron-Konfigurationsdateien auf Änderungen.
|
| Ausführung: Verdächtiges freigegebenes OpenSSL-Objekt geladen | SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED |
OpenSSL wurde ausgeführt, um ein benutzerdefiniertes freigegebenes Objekt zu laden. Angreifer können benutzerdefinierte Bibliotheken laden und vorhandene Bibliotheken ersetzen, die von OpenSSL verwendet werden, um schädlichen Code auszuführen. Die Verwendung in der Produktion ist ungewöhnlich und sollte sofort untersucht werden. Die Ergebnisse werden als Kritisch eingestuft. |
Dieser Detector überwacht die Ausführung des Befehls openssl engine, um benutzerdefinierte .so-Dateien zu laden.
|
| Exfiltration: Remote-Tools zum Kopieren von Dateien im Container gestartet | LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER |
Im Container wurde die Ausführung eines Tools zum Kopieren von Dateien per Remotezugriff erkannt. Dies deutet auf potenziellen Datendiebstahl, Lateral Movement oder die Bereitstellung schädlicher Nutzlasten hin. Angreifer verwenden diese Tools häufig, um vertrauliche Daten aus dem Container zu übertragen, sich seitlich im Netzwerk zu bewegen, um andere Systeme zu kompromittieren, oder Malware für weitere schädliche Aktivitäten einzuschleusen. Die Erkennung der Verwendung von Tools zum Kopieren von Dateien per Fernzugriff ist entscheidend, um Datenpannen, unbefugten Zugriff und weitere Gefährdungen des Containers und möglicherweise des Hostsystems zu verhindern. Die Ergebnisse werden als Gering eingestuft. |
Dieser Detector überwacht die Ausführung bekannter Tools zum Kopieren von Remotedateien in der Containerumgebung. Ihr Vorhandensein, insbesondere wenn es unerwartet ist, kann auf schädliche Aktivitäten hinweisen. |
| Auswirkungen: Erkennung schädlicher Cmdline-Dateien | DETECT_MALICIOUS_CMDLINES |
Ein Befehl wurde mit Argumenten ausgeführt, die bekanntermaßen potenziell schädlich sind, z. B. Versuche, wichtige Systemdateien zu löschen oder passwortbezogene Konfigurationen zu ändern. Angreifer können schädliche Befehlszeilen ausführen, um Systeminstabilität zu verursachen, die Wiederherstellung zu verhindern, indem sie wichtige Dateien löschen, oder unbefugten Zugriff zu erlangen, indem sie Nutzeranmeldedaten manipulieren. Die Erkennung dieser spezifischen Befehlsmuster ist entscheidend, um erhebliche Auswirkungen auf das System zu verhindern. Die Ergebnisse werden als Kritisch eingestuft. |
Dieser Detector überwacht die Ausführung von Befehlszeilenargumenten, die mit Mustern übereinstimmen, die mit Systemschäden oder Rechteausweitung in Verbindung gebracht werden. Das Vorhandensein solcher Befehle deutet auf einen potenziellen aktiven Versuch hin, die Verfügbarkeit oder Sicherheit des Systems negativ zu beeinflussen. |
| Auswirkungen: Bulk-Entfernung von Daten von Laufwerk | REMOVE_BULK_DATA_FROM_DISK |
Es wurde ein Prozess erkannt, der Massenlöschvorgänge für Daten ausführt. Dies kann auf einen Versuch hindeuten, Beweise zu vernichten, Dienste zu stören oder einen Angriff zum Löschen von Daten in der Containerumgebung auszuführen. Angreifer entfernen möglicherweise große Datenmengen, um ihre Spuren zu verwischen, Abläufe zu sabotieren oder sich auf den Einsatz von Ransomware vorzubereiten. Das Erkennen solcher Aktivitäten hilft, potenzielle Bedrohungen zu identifizieren, bevor es zu kritischen Datenverlusten kommt. Die Ergebnisse werden als Gering eingestuft. |
Der Detector überwacht Befehle und Prozesse, die mit dem Löschen von Massendaten oder anderen Tools zum Löschen von Daten in Verbindung stehen, um verdächtige Aktivitäten zu erkennen, die die Systemintegrität gefährden könnten. |
| Auswirkung: Verdächtige Cryptomining-Aktivität mit dem Stratum-Protokoll | SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL |
Es wurde ein Prozess erkannt, der über das Stratum-Protokoll kommuniziert. Dieses Protokoll wird häufig von Kryptowährungs-Mining-Software verwendet. Diese Aktivität deutet auf potenziell unbefugte Mining-Vorgänge in der Containerumgebung hin. Angreifer setzen häufig Krypto-Miner ein, um Systemressourcen für finanzielle Vorteile auszunutzen. Dies führt zu einer schlechteren Leistung, höheren Betriebskosten und potenziellen Sicherheitsrisiken. Das Erkennen solcher Aktivitäten trägt dazu bei, Ressourcenmissbrauch und unbefugten Zugriff zu verhindern. Die Ergebnisse werden als Hoch eingestuft. |
Dieser Detektor überwacht die Verwendung des Stratum-Protokolls in der Umgebung. Da legitime Containerarbeitslasten in der Regel kein Stratum verwenden, kann dessen Vorhandensein auf unbefugte Mining-Vorgänge oder einen manipulierten Container hinweisen. |
| Schädliches Script ausgeführt | MALICIOUS_SCRIPT_EXECUTED |
Ein ML-Modell (maschinelles Lernen) hat den angegebenen Bash-Code als schädlich identifiziert. Angreifer können Bash verwenden, um Tools oder andere Dateien von einem externen System in eine manipulierte Umgebung zu übertragen und Befehle ohne Binärdateien auszuführen. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor verwendet NLP-Techniken, um den Inhalt von ausgeführtem Bash-Code zu bewerten. Da dieser Ansatz nicht auf Signaturen basiert, können Detektoren bekannte und neue schädliche Bash-Befehle identifizieren. |
| Schädliche URL beobachtet | MALICIOUS_URL_OBSERVED |
Container Threat Detection hat eine schädliche URL in der Argumentliste eines laufenden Prozesses erkannt. Die Ergebnisse werden als Mittel eingestuft. |
Der Detector gleicht URLs, die in der Argumentliste laufender Prozesse beobachtet werden, mit den Listen unsicherer Webressourcen ab, die vom Google-Dienst Safe Browsing verwaltet werden. Wenn eine URL fälschlicherweise als Phishing oder Malware eingestuft wird, melden Sie sie unter Unvollständige Daten melden. |
| Persistenz: ld.so.preload ändern (Vorschau) | MODIFY_LD_SO_PRELOAD |
Es wurde versucht, die Datei
Änderungen an Dies ist ein Detektor für die Dateiüberwachung und er hat spezifische GKE-Versionsanforderungen. Dieser Detektor ist standardmäßig deaktiviert. Eine Anleitung zum Aktivieren finden Sie unter Container Threat Detection testen. |
Dieser Detector überwacht Versuche, die Datei „ld.so.preload“ zu ändern. |
| Rechteausweitung: Missbrauch von „sudo“ zur Rechteausweitung (CVE-2019-14287) | ABUSE_OF_SUDO_FOR_PRIVILEGE_ESCALATION |
Diese Erkennung weist auf einen Versuch hin, CVE-2019-14287 auszunutzen. Dadurch kann es zu einer Rechteausweitung kommen, wenn der sudo-Befehl missbraucht wird.
In Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach jeder sudo-Ausführung mit den Argumenten -u#-1 oder -u#4294967295.
|
| Rechteausweitung: Dateilose Ausführung in /dev/shm | FILELESS_EXECUTION_DETECTION_SHM |
Ein Prozess wurde über einen Pfad in
Wenn ein Angreifer eine Datei aus Die Ergebnisse werden als Hoch eingestuft. |
Der Detektor sucht nach Prozessen, die über /dev/shm ausgeführt wurden.
|
| Rechteausweitung: Lokale Rechteausweitung durch Polkit-Sicherheitslücke (CVE-2021-4034) | POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY |
Ein Nutzer ohne Rootberechtigung hat
Mit dieser Regel wird ein Versuch erkannt, eine Sicherheitslücke zur Rechteausweitung (CVE-2021-4034) in Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach jeder pkexec-Ausführung, bei der die Umgebungsvariable GCONV_PATH festgelegt ist.
|
| Rechteausweitung: Mögliche Rechteausweitung über Sudo (CVE-2021-3156) | SUDO_POTENTIAL_PRIVILEGE_ESCALATION |
Ein Nutzer ohne Rootberechtigung hat
Erkennt einen Versuch, eine Sicherheitslücke auszunutzen, die sich auf Die Ergebnisse werden als Kritisch eingestuft. |
Der Detector sucht nach Ausführungen von sudo oder sudoedit, bei denen versucht wird, Argumente zu verwenden, die als Teil des Exploits CVE-2021-4034 identifiziert wurden.
|
| Reverse Shell | REVERSE_SHELL |
Ein Prozess, bei dem die Stream-Weiterleitung an einen Remote-Socket gestartet wurde. Mit einer Reverse-Shell kann ein Angreifer von einer manipulierten Arbeitslast aus mit einer vom Angreifer kontrollierten Maschine kommunizieren. Der Angreifer kann dann die Arbeitslast ausführen und steuern, z. B. als Teil eines Botnets. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor sucht nach stdin, gebunden an einen Remote-Socket.
|
| Unerwartete untergeordnete Shell | UNEXPECTED_CHILD_SHELL |
Ein Prozess, der normalerweise keine Shells aufruft, hat einen Shellprozess gestartet. Die Ergebnisse werden als Kritisch eingestuft. |
Der Detektor überwacht alle Prozessausführungen. Wenn eine Shell aufgerufen wird, generiert der Detektor ein Ergebnis, wenn der übergeordnete Prozess normalerweise keine Shells aufruft. |
Nächste Schritte
- Informationen zur Verwendung von Container Threat Detection
- Container Threat Detection testen
- Bedrohungen untersuchen und Reaktionspläne entwickeln
- Informationen zu Artefaktanalyse und Scannen auf Sicherheitslücken