Обнаружено пустое выполнение лямбда-дочернего процесса aws на функциональном щите puresec

Question

Я пытаюсь использовать puresec's function_shield для защиты лямбда-сообщений моей службы.
Для целей тестирования я написал очень простую функцию, которая просто вызывает boto3.resource('dynamodb') и завершает работу.
Странно то, что function_shield регистрирует попытку генерации child_process: {"function_shield":true,"policy":"create_child_process","details":{"path":"/bin/sh"},"mode":"alert"} {"function_shield":true,"policy":"create_child_process","details":{"path":"/bin/uname"},"mode":"alert"} Я заметил, что если я уберу вызов ресурса, журнал будет идти вместе ...
Должен ли я волноваться?
Как я могу определить, является ли этот вызовсделано из boto3 или моя система взломана?

Спасибо!

Answer 1

Это не вредоносно.Boto3 использует встроенную в Python функцию «platform.system ()» для получения информации о платформе.По какой-то причине встроенная функция Python вызывает процесс оболочки для запуска uname и получения данных, вместо использования более безопасных средств для получения тех же данных.

В данный момент, пока мы не решим эту проблемувы можете отключить создание дочерних процессов в FunctionShield перед вызовом boto3.resource ('dynamodb'), а затем снова включить его сразу после.

function_shield.configure({
        "policy": {
            "create_child_process": "allow"
        }
    })
    boto3.resource('dynamodb')
    function_shield.configure({
        "policy": {
            "create_child_process": "alert"
        }
    })

Для дальнейшего использования мы открыли репозиторий github для FunctionShieldгде вы можете создавать вопросы: https://github.com/puresec/FunctionShield/