‫Added Library Loaded

במסמך הזה מתואר סוג של ממצא איום ב-Security Command Center. ממצאי איומים נוצרים על ידי מזהי איומים כשהם מזהים איום פוטנציאלי במשאבי הענן שלכם. רשימה מלאה של ממצאי האיומים הזמינים מופיעה במאמר אינדקס ממצאי האיומים.

סקירה כללית

ספרייה שלא הייתה חלק מקובץ אימג' של קונטיינר המקורי נטענה. תוקפים עשויים לטעון ספריות זדוניות לתוך תוכניות קיימות כדי לעקוף את ההגנות מפני הרצת קוד ולהסתיר קוד זדוני. חשוב מאוד לוודא שהמאגרי התגים שלכם הם בלתי ניתנים לשינוי. זו בעיה ברמת חומרה נמוכה, כי יכול להיות שהארגון שלכם לא פועל בהתאם לשיטה המומלצת הזו. יש ממצאים תואמים של Execution: Added Malicious Library Loaded כשהגיבוב של הקובץ הבינארי הוא אינדיקטור ידוע לפריצה (IoC).

זיהוי איומים בקונטיינר הוא המקור של הממצא הזה.

איך מגיבים

כדי להגיב לממצא הזה:

שלב 1: בדיקת פרטי הממצא

  1. פותחים ממצא Added Library Loaded לפי ההוראות במאמר בדיקת ממצאים. חלונית הפרטים של הממצא תיפתח בכרטיסייה סיכום.

  2. בכרטיסייה סיכום, בודקים את המידע בקטעים הבאים:

    • מה זוהה, במיוחד השדות הבאים:
      • קובץ בינארי של התוכנית: הנתיב המלא של הקובץ הבינארי של התהליך שבו נטען הספרייה.
      • ספריות: פרטים על הספרייה שנוספה.
      • ארגומנטים: הארגומנטים שסופקו כשמפעילים את הקובץ הבינארי של התהליך.
    • מקור המידע שהושפע, במיוחד השדות הבאים:
    • קישורים רלוונטיים, במיוחד השדות הבאים:
      • אינדיקטור של VirusTotal: קישור לדף הניתוח של VirusTotal.

  3. לוחצים על הכרטיסייה JSON ורושמים את השדות הבאים:

    • resource:
      • project_display_name: שם הפרויקט שמכיל את הנכס.
    • sourceProperties:
      • Pod_Namespace: השם של מרחב השמות של ה-Pod ב-Kubernetes.
      • Pod_Name: השם של ה-Pod ב-GKE.
      • Container_Name: השם של הקונטיינר המושפע.
      • Container_Image_Uri: השם של קובץ האימג' בקונטיינר שמופעל.
      • VM_Instance_Name: השם של צומת GKE שבו ה-Pod הופעל.

  4. זיהוי ממצאים אחרים שהתרחשו בזמן דומה במאגר התגים הזה. ממצאים קשורים עשויים להצביע על כך שהפעילות הזו הייתה זדונית, ולא על כך שלא פעלתם לפי השיטות המומלצות.

שלב 2: בדיקת האשכול והצומת

  1. נכנסים לדף Kubernetes clusters במסוף Google Cloud .

    מעבר אל Kubernetes clusters

  2. בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-resource.project_display_name, אם צריך.

  3. בוחרים את האשכול שמופיע ב-resource.name. שימו לב למטא-נתונים לגבי האשכול והבעלים שלו.

  4. לוחצים על הכרטיסייה Nodes. בוחרים את הצומת שמופיע ב-VM_Instance_Name.

  5. לוחצים על הכרטיסייה פרטים ורושמים את ההערה container.googleapis.com/instance_id.

שלב 3: בדיקת הפוד

  1. נכנסים לדף Kubernetes Workloads במסוף Google Cloud .

    עוברים אל Kubernetes Workloads

  2. בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-resource.project_display_name, אם צריך.

  3. במידת הצורך, מסננים לפי האשכול שמופיע בשורה Resource full name בכרטיסייה Summary בפרטי הממצא, ולפי מרחב השמות של ה-Pod שמופיע ב-Pod_Namespace.

  4. בוחרים את ה-Pod שמופיע ב-Pod_Name. שימו לב למטא-נתונים לגבי ה-Pod והבעלים שלו.

שלב 4: בדיקת היומנים

  1. במסוף Google Cloud , עוברים אל Logs Explorer.

    כניסה לדף Logs Explorer

  2. בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-resource.project_display_name, אם צריך.

  3. מגדירים את Select time range לתקופה הרצויה.

  4. בדף שנטען, מבצעים את הפעולות הבאות:

    1. כדי למצוא יומנים של Pod עבור Pod_Name, משתמשים במסנן הבא:
      • resource.type="k8s_container"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • resource.labels.namespace_name="Pod_Namespace"
      • resource.labels.pod_name="Pod_Name"
    2. כדי למצוא יומני ביקורת של אשכולות, משתמשים במסנן הבא:
      • logName="projects/resource.project_display_name/logs/cloudaudit.googleapis.com%2Factivity"
      • resource.type="k8s_cluster"
      • resource.labels.project_id="resource.project_display_name"
      • resource.labels.location="location"
      • resource.labels.cluster_name="cluster_name"
      • Pod_Name
    3. כדי למצוא יומני מסוף של צומת GKE, משתמשים במסנן הבא:
      • resource.type="gce_instance"
      • resource.labels.instance_id="instance_id"

שלב 5: בדיקת קונטיינר שפועל

אם מאגר התגים עדיין פועל, יכול להיות שאפשר לבדוק את סביבת מאגר התגים ישירות.

  1. נכנסים למסוף Google Cloud .

    פתיחת מסוף Google Cloud

  2. בסרגל הכלים של המסוף Google Cloud , בוחרים את הפרויקט שמופיע ב-resource.project_display_name, אם צריך.

  3. לוחצים על הפעלת Cloud Shell.

  4. מריצים את הפקודות הבאות כדי לקבל את פרטי הכניסה של GKE לאשכול.

    באשכולות אזוריים:

      gcloud container clusters get-credentials cluster_name --zone location --project resource.project_display_name

    באשכולות אזוריים:

      gcloud container clusters get-credentials cluster_name --region location --project resource.project_display_name

  5. כדי לאחזר את הספרייה שנוספה, מריצים את הפקודה:

      kubectl cp Pod_Namespace/Pod_Name: Added_Library_Fullpath -c Container_Name  local_file

    מחליפים את local_file בנתיב לקובץ מקומי כדי לאחסן את הספרייה שנוספה.

  6. כדי להתחבר לסביבת הקונטיינר, מריצים את הפקודה:

      kubectl exec --namespace=Pod_Namespace -ti Pod_Name -c Container_Name -- /bin/sh

    כדי להשתמש בפקודה הזו, צריך להתקין מעטפת במיקום /bin/sh במאגר.

שלב 6: מחקר על שיטות תקיפה ותגובה

  1. כדאי לעיין בערכים של מסגרת MITRE ATT&CK לגבי סוג הממצא הזה: Ingress Tool Transfer (העברת כלי חדירה), Shared Modules (מודולים משותפים).
  2. כדי לבדוק את ערך הגיבוב (hash) ‏SHA-256 של הקובץ הבינארי שסומן כזדוני ב-VirusTotal, לוחצים על הקישור באינדיקטור של VirusTotal. ‫VirusTotal הוא שירות בבעלות Alphabet שמספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים.
  3. כדי לפתח תוכנית תגובה, משלבים את תוצאות החקירה עם המחקר של MITRE והניתוח של VirusTotal.

שלב 7: מטמיעים את התגובה

תוכנית התגובה הבאה עשויה להתאים לממצא הזה, אבל היא עלולה גם להשפיע על הפעולות. חשוב לבדוק בקפידה את המידע שאספתם במהלך הבדיקה כדי להבין מהי הדרך הטובה ביותר לפתור את הבעיות.

  • אם הספרייה הייתה אמורה להיכלל בקונטיינר, צריך לבנות מחדש את קובץ האימג' של הקונטיינר עם הספרייה. כך הקונטיינר יכול להיות בלתי ניתן לשינוי.
  • אחרת, צריך לפנות לבעלים של הפרויקט עם מאגר התגים שנפרץ.
  • צריך להפסיק את השימוש במאגר התגים שנפרץ או למחוק אותו ולהחליף אותו במאגר תגים חדש.

המאמרים הבאים