Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על Cloud Run Threat Detection

Cloud Run Threat Detection הוא שירות מובנה של Security Command Center שמנטר באופן רציף את המצב של משאבי Cloud Run נתמכים כדי לזהות את המתקפות הנפוצות ביותר בזמן ריצה. אם Cloud Run Threat Detection מזהה מתקפה, הוא יוצר ממצא ב-Security Command Center כמעט בזמן אמת.

זיהוי האיומים בזמן הריצה ב-Cloud Run מנטר משאבים ב-Cloud Run כדי לזהות קבצים בינאריים וספריות חשודים, ומשתמש בעיבוד שפה טבעית (NLP) כדי לזהות קוד זדוני של Bash ו-Python.

בנוסף, גלאים של מישור הבקרה זמינים דרך Event Threat Detection. הגלאים האלה עוקבים אחרי הזרם של Cloud Logging בארגון או בפרויקטים שלכם כדי לזהות מתקפות פוטנציאליות על מישור הבקרה של משאבי Cloud Run.

משאבים נתמכים

התכונה 'זיהוי איומים ב-Cloud Run' עוקבת אחרי המשאבים הבאים:

סביבות הפעלה נתמכות

סביבות ההפעלה הנתמכות שונות עבור גלאי זמן ריצה וגלאי מישור בקרה.

סביבות הפעלה נתמכות לגלאי זמן ריצה

גלאי זמן הריצה של Cloud Run Threat Detection תומכים רק במשאבי Cloud Run שפועלים בסביבת הביצוע מהדור השני. לפני שמפעילים את Cloud Run Threat Detection, כדאי לשקול את הנקודות הבאות:

כשמפעילים את Cloud Run Threat Detection, אי אפשר ליצור שירות Cloud Run או עדכון שירות שפועלים בסביבת ההפעלה מהדור הראשון. שירות Cloud Run צריך להשתמש בסביבת ההפעלה מהדור השני. מומלץ לבדוק את עומסי העבודה בסביבת הביצוע מהדור השני לפני שמפעילים את Cloud Run Threat Detection.
כדי להפעיל זיהוי איומים בזמן ריצה בשירות, צריך לפרוס עדכון שבו סביבת ההפעלה של השירות מוגדרת לדור השני או לסביבת ההפעלה שמוגדרת כברירת מחדל.

סביבות ביצוע נתמכות לגלאים במישור הבקרה

גלאי מישור הבקרה תומכים בסביבות ביצוע מהדור הראשון ומהדור השני.

איך פועל זיהוי האיומים בזמן הריצה של Cloud Run

כשמפעילים את התכונה 'זיהוי איומים ב-Cloud Run', היא אוספת נתוני טלמטריה ממשאבי Cloud Run הנתמכים כדי לנתח תהליכים, סקריפטים וספריות שעשויים להצביע על מתקפה בזמן ריצה. הנתיב לביצוע כשמזוהים אירועים:

התכונה 'זיהוי איומים ב-Cloud Run' משתמשת בתהליך מעקב כדי לאסוף מידע על קונטיינרים ואירועים למשך כל משך הפעילות של עומס העבודה ב-Cloud Run.
התכונה Cloud Run Threat Detection מנתחת את פרטי האירועים שנאספים כדי לקבוע אם אירוע מסוים מעיד על תקרית. הוא משתמש ב-NLP כדי לנתח סקריפטים של Bash ו-Python ולזהות קוד זדוני.
- אם Cloud Run Threat Detection מזהה אירוע, הוא מדווח על האירוע כממצא ב-Security Command Center.
- אם התכונה 'זיהוי איומים ב-Cloud Run' לא מזהה אירוע, לא נשמר מידע.
- כל הנתונים שנאספים הם זמניים ולא מאוחסנים באופן קבוע.

במאמר בדיקת הממצאים מוסבר איך בודקים את הממצאים של Cloud Run Threat Detection במסוףGoogle Cloud .

בעיות מוכרות

אם תהליך הצפייה מפסיק לפני הזמן במופע פעיל של שירות Cloud Run, של משימה או של מאגר עובדים, תהליך הצפייה לא יופעל מחדש. המופע מפסיק לשלוח מידע טלמטרי ל-Cloud Run Threat Detection. יומני זיהוי האיומים של Cloud Run לא מופיעים ביומני המכונה. אין אינדיקטור שמציין שתהליך הצפייה הופסק.

מזהים

בקטע הזה מפורטים הגלאים של זמן הריצה ושל מישור הבקרה שזמינים. אנחנו מוסיפים גלאים חדשים באופן קבוע כשאיומים חדשים בענן מתגלים.

גלאים בזמן ריצה

התכונה Cloud Run Threat Detection כוללת את הגלאים הבאים בזמן ריצה:

השם המוצג	שם ה-API	תיאור
Command and Control: Steganography Tool Detected	`CLOUD_RUN_STEGANOGRAPHY_TOOL_DETECTED`	תוכנית שזוהתה ככלי להסתרת מידע הופעלה, מה שמצביע על ניסיון פוטנציאלי להסתיר תקשורת או העברת נתונים. יכול להיות שתוקפים ישתמשו בטכניקות סטגנוגרפיות כדי להטמיע הוראות זדוניות של פיקוד ושליטה (C2) או נתונים שחולצו בקבצים דיגיטליים שנראים תמימים, במטרה לחמוק מניטור וזיהוי אבטחה רגילים. זיהוי השימוש בכלים כאלה הוא קריטי כדי לחשוף פעילות זדונית מוסתרת.
גישה לפרטי כניסה: איתור Google Cloud פרטי כניסה	`CLOUD_RUN_FIND_GCP_CREDENTIALS`	בוצעה פקודה לחיפוש Google Cloud מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר. תוקף יכול להשתמש בפרטי כניסה גנובים Google Cloud כדי לקבל גישה לא מורשית למידע אישי רגיש או למשאבים בסביבה הממוקדת Google Cloud .
גישה לפרטי כניסה: סיור במפתח GPG	`CLOUD_RUN_GPG_KEY_RECONNAISSANCE`	בוצעה פקודה לחיפוש מפתחות אבטחה של GPG. תוקף יכול להשתמש במפתחות אבטחה של GPG שנגנבו כדי לקבל גישה לא מורשית לתקשורת או לקבצים מוצפנים.
גישה לפרטי כניסה: חיפוש מפתחות פרטיים או סיסמאות	`CLOUD_RUN_SEARCH_PRIVATE_KEYS_OR_PASSWORDS`	בוצעה פקודה לחיפוש מפתחות פרטיים, סיסמאות או פרטי כניסה רגישים אחרים בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי לאיסוף נתוני אימות. תוקפים מחפשים לעיתים קרובות קבצים של פרטי כניסה כדי לקבל גישה לא מורשית למערכות, להרחיב את ההרשאות או לנוע לרוחב בתוך הסביבה. זיהוי פעילות כזו הוא קריטי למניעת פרצות אבטחה.
התחמקות מהגנה: שורת פקודה של קובץ ELF בקידוד Base64	`CLOUD_RUN_BASE64_ELF_FILE_CMDLINE`	בוצע תהליך שמכיל ארגומנט שהוא קובץ ELF (Executable and Linkable Format). זיהוי של הפעלת קובץ ELF מקודד מעיד על כך שתוקף מנסה לקודד נתונים בינאריים כדי להעביר אותם לשורות פקודה ב-ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי לחמוק מזיהוי ולהריץ קוד זדוני שמוטמע בקובץ ELF.
התחמקות מהגנה: הפעלה של סקריפט Python עם קידוד Base64	`CLOUD_RUN_BASE64_ENCODED_PYTHON_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט Python בקידוד base64. אם מזוהה ביצוע של סקריפט Python מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים כדי להעביר אותם לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט Python.
התחמקות מהגנה: סקריפט מעטפת בקידוד Base64 הופעל	`CLOUD_RUN_BASE64_ENCODED_SHELL_SCRIPT_EXECUTED`	בוצע תהליך שמכיל ארגומנט שהוא סקריפט מעטפת בקידוד base64. אם מזוהה הפעלה של סקריפט מעטפת מקודד, זהו אות לכך שתוקף מנסה לקודד נתונים בינאריים כדי להעביר אותם לשורות פקודה בפורמט ASCII בלבד. תוקפים יכולים להשתמש בטכניקה הזו כדי להתחמק מזיהוי ולהריץ קוד זדוני שמוטמע בסקריפט מעטפת.
התחמקות מהגנה: הפעלת כלי קומפילציה של קוד במאגר	`CLOUD_RUN_LAUNCH_CODE_COMPILER_TOOL_IN_CONTAINER`	הופעל תהליך להפעלת כלי קומפילציה של קוד בסביבת הקונטיינר, מה שמצביע על ניסיון פוטנציאלי ליצור או לשנות קוד הפעלה בהקשר מבודד. תוקפים עשויים להשתמש בקומפיילרים של קוד בתוך קונטיינרים כדי לפתח מטענים ייעודיים (payloads) זדוניים, להחדיר קוד לקבצים בינאריים קיימים או ליצור כלים לעקיפת אמצעי אבטחה, והכול תוך פעולה בסביבה פחות מפוקחת כדי להימנע מגילוי במערכת המארחת.
ביצוע: נוסף קובץ בינארי זדוני שהופעל	`CLOUD_RUN_ADDED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם קובץ בינארי זדוני שנוסף מופעל, זה סימן חזק לכך שלתוקף יש שליטה בעומס העבודה והוא מפעיל תוכנה זדונית.
ביצוע: נוספה טעינה של ספרייה זדונית	`CLOUD_RUN_ADDED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר לא חלק מקובץ אימג' של קונטיינר המקורית אם ספרייה זדונית שנוספה נטענת, זה סימן חזק לכך שתוקף השתלט על עומס העבודה ומריץ תוכנה זדונית.
ביצוע: הפעלה של קובץ בינארי זדוני מובנה	`CLOUD_RUN_BUILT_IN_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של קונטיינר המקורית אם קובץ בינארי זדוני מובנה מופעל, זה סימן שהתוקף פורס מאגרי מידע זדוניים. יכול להיות שהם השתלטו על מאגר תמונות לגיטימי או על צינור ליצירת קונטיינרים, והחדירו קובץ בינארי זדוני לקובץ אימג' של קונטיינר.
ביצוע: פירצה בקונטיינר	`CLOUD_RUN_CONTAINER_ESCAPE`	תהליך בוצע בקונטיינר בניסיון לפרוץ את הבידוד של הקונטיינר, באמצעות טכניקות בריחה ידועות או קבצים בינאריים. סוג כזה של התקפה יכול לתת לתוקף גישה למערכת המארחת. התהליכים האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם מזוהה ניסיון לפרוץ לקונטיינר, יכול להיות שזה מעיד על כך שתוקף מנצל נקודות חולשה כדי לצאת מהקונטיינר. כתוצאה מכך, התוקף עלול לקבל גישה לא מורשית למערכת המארחת או לתשתית רחבה יותר, ולפגוע בכל הסביבה.
ביצוע: ביצוע ללא קובץ ב-‎ /memfd:	`CLOUD_RUN_FILELESS_EXECUTION_DETECTION_MEMFD`	תהליך בוצע באמצעות מתאר קובץ בזיכרון. תהליך שהופעל מקובץ בזיכרון עשוי להצביע על כך שתוקף מנסה לעקוף שיטות זיהוי אחרות כדי להריץ קוד זדוני.
ביצוע: הרצת כלי לתקיפת Kubernetes	`CLOUD_RUN_KUBERNETES_ATTACK_TOOL_EXECUTION`	כלי תקיפה ספציפי ל-Kubernetes הופעל בסביבה, מה שיכול להצביע על כך שתוקף מנסה לפגוע ברכיבים של אשכול Kubernetes. כלי התקיפה האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם כלי תקיפה מופעל בסביבת Kubernetes, יכול להיות שהתוקף קיבל גישה לאשכול ומשתמש בכלי כדי לנצל חולשות או הגדרות ספציפיות ל-Kubernetes.
ביצוע: הפעלת כלי סיור מקומי	`CLOUD_RUN_LOCAL_RECONNAISSANCE_TOOL_EXECUTION`	כלי מקומי לזיהוי נקודות חולשה שלא משויך בדרך כלל למאגר או לסביבה הופעל, מה שמצביע על ניסיון לאסוף מידע על המערכת הפנימית. כלי הסיור האלה מזוהים כאיומים פוטנציאליים על סמך נתוני מודיעין. אם מופעל כלי סיור, יכול להיות שהתוקף מנסה למפות את התשתית, לזהות נקודות חולשה או לאסוף נתונים על הגדרות המערכת כדי לתכנן את השלבים הבאים.
ביצוע: קוד Python זדוני בוצע	`CLOUD_RUN_MALICIOUS_PYTHON_EXECUTED`	מודל ללמידת מכונה זיהה את קוד Python שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Python כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Python שהופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות קוד Python מוכר וחדש. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה.
ביצוע: קובץ בינארי זדוני שונה הופעל	`CLOUD_RUN_MODIFIED_MALICIOUS_BINARY_EXECUTED`	בוצעה הפעלה של קובץ בינארי שעומד בתנאים הבאים: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של קונטיינר המקורית השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם קובץ בינארי זדוני שעבר שינוי מופעל, זה סימן חזק לכך שתוקף השתלט על עומס העבודה והוא מפעיל תוכנה זדונית.
ביצוע: ספרייה זדונית ששונתה נטענה	`CLOUD_RUN_MODIFIED_MALICIOUS_LIBRARY_LOADED`	ספרייה שעומדת בתנאים הבאים נטענה: זוהה כתוכן זדוני על סמך מודיעין איומי סייבר נכלל בקובץ אימג' של קונטיינר המקורית השתנה מקובץ האימג' המקורי של הקונטיינר במהלך זמן הריצה אם נטען ספרייה זדונית שעברה שינוי, זה סימן חזק לכך שתוקף השתלט על עומס העבודה ומריץ תוכנה זדונית.
ביצוע: הרצת קוד מרחוק של Netcat במאגר	`CLOUD_RUN_NETCAT_REMOTE_CODE_EXECUTION_IN_CONTAINER`	הכלי Netcat, כלי רשת רב-תכליתי, הופעל בסביבת הקונטיינר, מה שעשוי להצביע על ניסיון ליצור גישה מרחוק לא מורשית או לחלץ נתונים. השימוש ב-Netcat בסביבה מבוססת-קונטיינרים עשוי להצביע על ניסיון של תוקף ליצור מעטפת הפוכה, לאפשר תנועה לרוחב או להריץ פקודות שרירותיות, מה שעלול לפגוע בשלמות המערכת.
ביצוע: אפשר להריץ פקודות שרירותיות דרך CUPS‏ (CVE-2024-47076)	`CLOUD_RUN_POSSIBLE_ARBITRARY_COMMAND_EXECUTION_THROUGH_CUPS`	הכלל הזה מזהה את התהליך `foomatic-rip` שמבצע תוכניות נפוצות של מעטפת, מה שעשוי להצביע על כך שתוקף ניצל את CVE-2024-47076. ‫`foomatic-rip` הוא חלק מ-OpenPrinting CUPS, שירות הדפסה בקוד פתוח שכלול בהרבה הפצות של Linux. ברוב תמונות הקונטיינר שירות ההדפסה הזה מושבת או מוסר. אם הזיהוי הזה מתרחש, צריך להעריך אם זו התנהגות מכוונת או להשבית את השירות באופן מיידי.
ביצוע: זוהה ביצוע אפשרי של פקודה מרחוק	`CLOUD_RUN_POSSIBLE_REMOTE_COMMAND_EXECUTION_DETECTED`	זוהה תהליך שיוצר פקודות UNIX נפוצות דרך חיבור שקע ברשת, מה שמצביע על ניסיון פוטנציאלי ליצור יכולות של הפעלת פקודות מרחוק ללא הרשאה. תוקפים משתמשים לעיתים קרובות בטכניקות שמחקות מעטפת הפוכה כדי לקבל שליטה אינטראקטיבית במערכת שנפרצה, מה שמאפשר להם להריץ פקודות שרירותיות מרחוק ולעקוף אמצעי אבטחה סטנדרטיים ברשת כמו הגבלות של חומת אש. זיהוי של ביצוע פקודה דרך שקע הוא אינדיקטור חזק לגישה מרחוק זדונית.
הרצה: הפעלת תוכנית עם סביבת Proxy ל-HTTP לא מורשית	`CLOUD_RUN_PROGRAM_RUN_WITH_DISALLOWED_HTTP_PROXY_ENV`	הופעל תוכנית עם משתנה סביבה של שרת proxy מסוג HTTP שלא מורשה. יכול להיות שמדובר בניסיון לעקוף אמצעי בקרה לאבטחה, להפנות תנועה למטרות זדוניות או להעביר נתונים דרך ערוצים לא מורשים. תוקפים עשויים להגדיר שרתי proxy של HTTP שאסור להשתמש בהם כדי ליירט מידע רגיש, לנתב תנועה דרך שרתים זדוניים או ליצור ערוצי תקשורת סמויים. זיהוי ההפעלה של תוכניות עם משתני הסביבה האלה הוא חיוני לשמירה על אבטחת הרשת ולמניעת פרצות אבטחה.
ביצוע: זוהה reverse shell של Socat	`CLOUD_RUN_SOCAT_REVERSE_SHELL_DETECTED`	הפקודה `socat` שימשה ליצירת reverse shell. הכלל הזה מזהה את ההפעלה `socat` כדי ליצור מעטפת הפוכה על ידי הפניה מחדש של מתארים של קבצים מסוג stdin,‏ stdout ו-stderr. זו טכניקה נפוצה שמשמשת תוקפים כדי לקבל גישה מרחוק למערכת שנפרצה.
ביצוע: נטען אובייקט משותף חשוד של OpenSSL	`CLOUD_RUN_SUSPICIOUS_OPENSSL_SHARED_OBJECT_LOADED`	הופעל OpenSSL כדי לטעון אובייקט משותף מותאם אישית. תוקפים עשויים לטעון ספריות מותאמות אישית ולהחליף ספריות קיימות שבהן נעשה שימוש ב-OpenSSL כדי להריץ קוד זדוני. השימוש בה בסביבת ייצור הוא נדיר וצריך להצדיק בדיקה מיידית.
העברה לא מורשית: הפעלת כלים להעתקת קבצים מרחוק בקונטיינר	`CLOUD_RUN_LAUNCH_REMOTE_FILE_COPY_TOOLS_IN_CONTAINER`	זוהתה הפעלה של כלי להעתקת קבצים מרחוק בתוך הקונטיינר, מה שמצביע על זליגת נתונים פוטנציאלית, תנועה לרוחב או פריסת מטענים ייעודיים זדוניים. התוקפים משתמשים בכלים האלה כדי להעביר מידע אישי רגיש מחוץ לקונטיינר, לנוע לרוחב בתוך הרשת כדי לפגוע במערכות אחרות או להחדיר תוכנות זדוניות כדי לבצע פעילויות זדוניות נוספות. זיהוי השימוש בכלי העתקת קבצים מרחוק הוא חיוני למניעת פרצות אבטחה, גישה לא מורשית וסיכון נוסף של הקונטיינר, ואולי גם של מערכת המארח.
השפעה: זיהוי של שורות פקודה זדוניות	`CLOUD_RUN_DETECT_MALICIOUS_CMDLINES`	פקודה בוצעה עם ארגומנטים שידוע שהם עלולים להיות הרסניים, כמו ניסיונות למחוק קבצי מערכת קריטיים או לשנות הגדרות שקשורות לסיסמאות. יכול להיות שתוקפים ינפיקו שורות פקודה זדוניות כדי לגרום לחוסר יציבות במערכת, למנוע שחזור על ידי מחיקת קבצים חיוניים או להשיג גישה לא מורשית על ידי מניפולציה של פרטי הכניסה של המשתמש. זיהוי דפוסי הפקודות הספציפיים האלה הוא קריטי למניעת השפעה משמעותית על המערכת.
השפעה: הסרת נתונים בכמות גדולה מהדיסק	`CLOUD_RUN_REMOVE_BULK_DATA_FROM_DISK`	זוהה תהליך שמבצע פעולות של מחיקת נתונים בכמות גדולה, מה שעשוי להצביע על ניסיון למחוק ראיות, לשבש שירותים או לבצע מתקפה של מחיקת נתונים בסביבת הקונטיינר. תוקפים עשויים להסיר כמויות גדולות של נתונים כדי לטשטש את עקבותיהם, לחבל בפעולות או להתכונן לפריסת תוכנת כופר. זיהוי פעילות כזו עוזר לזהות איומים פוטנציאליים לפני שמתרחש אובדן נתונים קריטי.
השפעה: פעילות חשודה של כריית מטבעות קריפטוגרפיים באמצעות פרוטוקול Stratum	`CLOUD_RUN_SUSPICIOUS_CRYPTO_MINING_ACTIVITY_USING_STRATUM_PROTOCOL`	זוהה תהליך שמתקשר באמצעות פרוטוקול Stratum, שמשמש בדרך כלל תוכנות לכריית מטבעות קריפטוגרפיים. הפעילות הזו מצביעה על פעולות כרייה לא מורשות פוטנציאליות בסביבת הקונטיינר. תוקפים מפעילים לעיתים קרובות כריית מטבעות קריפטוגרפיים כדי לנצל את משאבי המערכת לרווח כספי, מה שמוביל לירידה בביצועים, לעלייה בעלויות התפעול ולסיכוני אבטחה פוטנציאליים. זיהוי של פעילות כזו עוזר לצמצם את הסיכון לניצול לרעה של משאבים ולגישה לא מורשית.
הופעל סקריפט זדוני	`CLOUD_RUN_MALICIOUS_SCRIPT_EXECUTED`	מודל ללמידת מכונה זיהה את קוד ה-Bash שצוין כקוד זדוני. תוקפים יכולים להשתמש ב-Bash כדי להעביר כלים או קבצים אחרים ממערכת חיצונית לסביבה שנפרצה ולהריץ פקודות בלי קבצים בינאריים. הכלי לזיהוי משתמש בטכניקות של עיבוד שפה טבעית (NLP) כדי להעריך את התוכן של קוד Bash שהופעל. מכיוון שהגישה הזו לא מבוססת על חתימות, גלאים יכולים לזהות קוד Bash זדוני מוכר וחדש. הערה: אם מפעילים שמירת נתונים במיקום מסוים, אי אפשר להפעיל את אמצעי הזיהוי הזה והוא לא יפיק ממצאים במיקום הזה.
זוהתה כתובת URL זדונית	`CLOUD_RUN_MALICIOUS_URL_OBSERVED`	התכונה 'זיהוי איומים' ב-Cloud Run זיהתה כתובת URL זדונית ברשימת הארגומנטים של תהליך שפועל. הכלי לזיהוי בודק כתובות URL שנצפו ברשימת הארגומנטים של תהליכים פעילים מול רשימות של משאבי אינטרנט לא בטוחים שמתוחזקות על ידי שירות הגלישה הבטוחה של Google. אם כתובת URL מסווגת בטעות כאתר פישינג או כתוכנה זדונית, אפשר לדווח על כך ב דיווח על נתונים שגויים.
הסלמת הרשאות: ניצול לרעה של Sudo להסלמת הרשאות (CVE-2019-14287)	`CLOUD_RUN_ABUSE_SUDO_FOR_PRIVILEGE_ESCALATION`	הפעולה `sudo` בוצעה עם ארגומנטים שמנסים להרחיב את ההרשאות. הכלל הזה מזהה ניסיון לנצל את CVE-2019-14287, נקודת חולשה שמאפשרת הסלמת הרשאות (privilege escalation) באמצעות ניצול לרעה של הפקודה `sudo`. בגרסאות `sudo` שקדמו לגרסה v1.8.28 הייתה פרצת אבטחה שאיפשרה למשתמש שאינו root לקבל הרשאות root.
הסלמת הרשאות: נקודת חולשה בהסלמת הרשאות מקומיות ב-Polkit‏ (CVE-2021-4034)	`CLOUD_RUN_POLKIT_LOCAL_PRIVILEGE_ESCALATION_VULNERABILITY`	משתמש שאינו משתמש root ביצע את הפקודה `pkexec` עם משתני סביבה שמנסים להסלים את ההרשאות. הכלל הזה מזהה ניסיון לנצל נקודת חולשה של הסלמת הרשאות (CVE-2021-4034) ב-`pkexec` של Polkit. על ידי הרצת קוד שנוצר במיוחד, משתמש שאין לו הרשאות root יכול לנצל את הפגם הזה כדי לקבל הרשאות root במערכת שנפרצה.
הסלמת הרשאות: הסלמת הרשאות פוטנציאלית ב-Sudo‏ (CVE-2021-3156)	`CLOUD_RUN_SUDO_POTENTIAL_PRIVILEGE_ESCALATION`	משתמש שאינו משתמש root ביצע את הפקודה `sudo` או `sudoedit` עם תבנית של ארגומנטים שמנסים להרחיב את ההרשאות. מזהה ניסיון לנצל נקודת חולשה שמשפיעה על `sudo` בגרסה 1.9.5p2 ובגרסאות קודמות. הרצה של `sudo` או `sudoedit` עם ארגומנטים מסוימים, כולל ארגומנט שמסתיים בתו נטוי יחיד, בתור משתמש ללא הרשאות, יכולה להעלות את ההרשאות של המשתמש לרמת משתמש root.
Reverse Shell	`CLOUD_RUN_REVERSE_SHELL`	תהליך שהתחיל בהפניה של הזרם ל-socket מרוחק ומחובר. הגלאי מחפש `stdin` שקשור לשקע מרוחק. באמצעות reverse shell, תוקף יכול לתקשר מעומס עבודה שנפרץ למחשב שנמצא בשליטת התוקף. לאחר מכן התוקף יכול לשלוט בעומס העבודה ולתת לו פקודות – למשל, כחלק מרשת בוטים.
Unexpected Child Shell	`CLOUD_RUN_UNEXPECTED_CHILD_SHELL`	תהליך שבדרך כלל לא מפעיל מעטפות הפעיל תהליך של מעטפת. הכלי לזיהוי עוקב אחרי כל ההפעלות של התהליכים. כשמפעילים מעטפת, הגלאי יוצר ממצא אם ידוע שתהליך האב בדרך כלל לא מפעיל מעטפות.

גלאים במישור הבקרה

הגלאים הבאים של מישור הבקרה זמינים דרך Event Threat Detection. הגלאים האלה מופעלים כברירת מחדל. הניהול של הגלאים האלה מתבצע באותו אופן כמו של גלאים אחרים של Event Threat Detection. מידע נוסף זמין במאמר בנושא שימוש ב-Event Threat Detection.

השם המוצג	שם ה-API	סוגים של מקורות יומנים	תיאור
השפעה: פקודות לכריית מטבע וירטואלי	`CLOUD_RUN_JOBS_CRYPTOMINING_COMMANDS`	יומני ביקורת של Cloud: יומני ביקורת של אירועי מערכת IAM	פקודות ספציפיות לכריית קריפטו צורפו למשימת Cloud Run במהלך ההפעלה. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
הרצה: קובץ אימג' של Docker לכריית מטבע וירטואלי	`CLOUD_RUN_CRYPTOMINING_DOCKER_IMAGES`	יומני ביקורת של Cloud: יומני ביקורת של אירועי מערכת IAM	תמונות Docker ספציפיות שמוכרות כבעייתיות צורפו לשירות או למשימה חדשים או קיימים של Cloud Run. כברירת מחדל, הממצאים מסווגים כבעלי חומרה גבוהה.
העלאת רמת הרשאה: חשבון השירות שמוגדר כברירת מחדל של Compute Engine ‏SetIAMPolicy	`CLOUD_RUN_SERVICES_SET_IAM_POLICY`	יומני ביקורת של Cloud: יומני Admin Activity	חשבון השירות שמוגדר כברירת מחדל ב-Compute Engine שימש להגדרת מדיניות IAM בשירות Cloud Run. זו פעולה פוטנציאלית אחרי ניצול לרעה, כשמזהים פגיעה באסימון של Compute Engine משירות ללא שרת. כברירת מחדל, הממצאים מסווגים כבעלי חומרה נמוכה.

מידע על כללים שהוצאו משימוש וכללים שהופסקה התמיכה בהם זמין במאמר הוצאה משימוש.