10/28(金)コンテナクラウドセキュリティで訊かれる「ランタイムセキュリティ」とは?と題してFalcoをSysdigが徹底解説するウェビナーを開催します。ご興味ある方はこちらから
https://go.sysdig.com/20221028JapanWebinar1.html
本シリーズでは、ランタイム脅威検知のデファクトスタンダードであるFalcoの検知Ruleを、1つの記事で1つ簡単に紹介していきます。
ランタイムセキュリティやFalco自体の概要を知りたい方はこちらのブログ記事をご参照ください。
今回ご紹介する検知Ruleは「Program run with disallowed http proxy env」です。
Rule記述
- rule: Program run with disallowed http proxy env
desc: An attempt to run a program with a disallowed HTTP_PROXY environment variable
condition: >
spawned_process and
http_proxy_procs and
not allowed_ssh_proxy_env and
proc.env icontains HTTP_PROXY
enabled: false
output: >
Program run with disallowed HTTP_PROXY environment variable
(user=%user.name user_loginuid=%user.loginuid command=%proc.cmdline env=%proc.env parent=%proc.pname container_id=%container.id image=%container.image.repository)
priority: NOTICE
tags: [host, users]
Rule概要
許可されていないHTTP_PROXY環境変数を使用したプログラム起動を検知します。
プロキシサーバーを設置することで、通信先のチェックや不正通信の遮断、ログの監視などを実施できますが、攻撃者はこれを回避するために、許可されていないHTTP_PROXY環境変数を使用する場合があります。
また、不正に暗号通貨を発掘するクリプトマイナーの中には、通信先となるマイニングプールのIPアドレスを隠蔽するために独自のプロキシを利用するマルウェアも存在します。
Condition(条件)
spawned_process and
新たに起動したプロセスで、
http_proxy_procs and
curl、wgetなどのHTTP Proxyを使用するプロセスで、
かつ
not allowed_ssh_proxy_env and
許可されたプロキシ環境変数ではなく、
proc.env icontains HTTP_PROXY
プロセスの環境変数がHTTP_PROXYを含む場合
※icontainsオペレーターは大文字小文字を区別しません
Output(出力)
許可されていないHTTP_PROXY環境変数を伴うプログラムが起動しています
%user.name
ユーザー名
%user.loginuid
ユーザーのログインUID
%proc.cmdline
コマンドライン
%proc.env
プロセス環境変数
%proc.pname
親プロセス名
%container.id
コンテナID
%container.image.repository
コンテナイメージリポジトリ