Malware: dominio non valido per il cryptomining

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

Il malware viene rilevato esaminando i log di flusso VPC e i log di Cloud DNS per le connessioni a domini e indirizzi IP di comando e controllo noti.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri il risultato Malware: Cryptomining Bad Domain come indicato in Revisione dei risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:
     • Dominio indicatore: il dominio che ha attivato il risultato.
   • Risorsa interessata, in particolare i seguenti campi:
     • Nome completo della risorsa: il nome completo della risorsa dell'istanza Compute Engine interessata.
     • Nome completo del progetto: il nome completo della risorsa del progetto che contiene il risultato.
   • Link correlati, in particolare i seguenti campi:
     • URI Cloud Logging: link alle voci di log.
     • Metodo MITRE ATT&CK: link alla documentazione MITRE ATT&CK.
     • Risultati correlati: link a eventuali risultati correlati.
     • Indicatore VirusTotal: link alla pagina di analisi di VirusTotal.
     • Flow Analyzer: link alla funzionalità Flow Analyzer di Network Intelligence Center. Questo campo viene visualizzato solo quando i log di flusso VPC sono abilitati.

   1. Fai clic sulla scheda JSON e prendi nota del seguente campo:

      • evidence:
      • sourceLogId:
        • projectID: l'ID del progetto in cui è stato rilevato il problema.
      • properties:
      • InstanceDetails: l'indirizzo della risorsa per l'istanza di Compute Engine.

Passaggio 2: rivedi le autorizzazioni e le impostazioni

1. Nella console Google Cloud , vai alla pagina Dashboard.

   Vai alla dashboard

2. Seleziona il progetto specificato nella riga Nome completo progetto nella scheda Riepilogo.

3. Vai alla scheda Risorse e fai clic su Compute Engine.

4. Fai clic sull'istanza VM che corrisponde al nome e alla zona in Nome completo risorsa. Esamina i dettagli dell'istanza, incluse le impostazioni di rete e di accesso.

5. Nel riquadro di navigazione, fai clic su Rete VPC, quindi su Firewall. Rimuovi o disabilita le regole firewall eccessivamente permissive.

Passaggio 3: controlla i log

1. Nella scheda Riepilogo del riquadro dei dettagli del problema, fai clic sul link URI Cloud Logging per aprire Esplora log.

2. Nella pagina che viene caricata, trova i log di flusso VPC correlati all'indirizzo IP in IP di origine utilizzando il seguente filtro:

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Sostituisci quanto segue:

     • PROJECT_ID con la selezione del progetto elencato in projectId.
     • SOURCE_IP con l'indirizzo IP elencato nella riga IP di origine nella scheda Riepilogo dei dettagli del problema.

Passaggio 4: controlla Flow Analyzer

Per eseguire la procedura seguente, devi abilitare i log di flusso VPC.

1. Assicurati di aver eseguito l'upgrade del bucket di log per utilizzare Analisi dei log. Per istruzioni, vedi Eseguire l'upgrade di un bucket per utilizzare Analisi dei log. Non è previsto alcun costo aggiuntivo per l'upgrade.

2. Nella console Google Cloud , vai alla pagina Analizzatore di flussi:

   Vai a Flow Analyzer

   Puoi accedere a Flow Analyzer anche tramite il link URL di Flow Analyzer nella sezione Link correlati della scheda Riepilogo del riquadro Dettagli del risultato.

3. Per esaminare ulteriormente le informazioni relative al risultato di Event Threat Detection, utilizza il selettore dell'intervallo di tempo nella barra delle azioni per modificare il periodo di tempo. Il periodo di tempo deve riflettere la data della prima segnalazione del risultato. Ad esempio, se il risultato è stato segnalato nelle ultime 2 ore, puoi impostare il periodo di tempo su Ultime 6 ore. In questo modo, il periodo di tempo in Analizzatore di flusso include il momento in cui è stato segnalato il problema.

4. Filtra Flow Analyzer per visualizzare i risultati appropriati per l'indirizzo IP associato al risultato IP dannoso:

   1. Nel menu Filtro nella riga Origine della sezione Query, seleziona IP.

   2. Nel campo Valore, inserisci l'indirizzo IP associato al risultato e fai clic su Esegui nuova query.

      Se Flow Analyzer non mostra risultati per l'indirizzo IP, cancella il filtro dalla riga Origine ed esegui di nuovo la query con lo stesso filtro nella riga Destinazione.

5. Analizza i risultati. Per ulteriori informazioni su un flusso specifico, fai clic su Dettagli nella tabella Tutti i flussi di dati per aprire il riquadro Dettagli flusso.

Passaggio 5: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per questo tipo di risultato: Risoluzione dinamica e Command and Control.
2. Esamina i risultati correlati facendo clic sul link nella sezione Risultati correlati nella riga Risultati correlati della scheda Riepilogo dei dettagli del risultato. I risultati correlati sono dello stesso tipo e della stessa istanza e rete.
3. Controlla gli URL e i domini segnalati su VirusTotal facendo clic sul link nell'indicatore VirusTotal. VirusTotal è un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini e indirizzi IP potenzialmente dannosi.
4. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 6: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

• Contatta il proprietario del progetto contenente malware.
• Esamina l'istanza potenzialmente compromessa e rimuovi eventuali malware rilevati. Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.
• Per monitorare l'attività e le vulnerabilità che hanno consentito l'inserimento di malware, controlla i log di controllo e i syslog associati all'istanza compromessa.
• Se necessario, interrompi l'istanza compromessa e sostituiscila con una nuova istanza.
• Blocca gli indirizzi IP dannosi aggiornando le regole firewall o utilizzando Cloud Armor. Puoi attivare Cloud Armor nella pagina Servizi integrati di Security Command Center. A seconda del volume di dati, i costi di Cloud Armor possono essere significativi. Per ulteriori informazioni, consulta la guida ai prezzi di Cloud Armor.
• Per controllare l'accesso e l'utilizzo delle immagini VM, utilizza Shielded VM e Trusted Images IAM policy.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.