Log4j マルウェア: 不正なドメイン

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。利用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

VPC フローログと Cloud DNS ログで既知のコマンド、制御ドメイン、IP アドレスへの接続を調査したところ、マルウェアが検出されています。

顧客への対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

  1. 検出結果の確認の説明に従って、Log4j Malware: Bad Domain の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

  2. [概要] タブで、次のセクションの情報を確認します。

    • 検出された内容(特に次のフィールド):
      • インジケーターのドメイン: 検出結果をトリガーしたドメイン。
    • 影響を受けているリソース(特に次のフィールド):
      • リソースの完全な名前: 影響を受ける Compute Engine インスタンスの完全なリソース名。
      • プロジェクトの完全な名前: 検出結果を含むプロジェクトの完全なリソース名。
    • 関連リンク(特に次のフィールド):
      • Cloud Logging URI: Logging エントリへのリンク。
      • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
      • 関連する検出結果: 関連する検出結果へのリンク。
      • VirusTotal インジケーター: VirusTotal の分析ページへのリンク。
      • Flow Analyzer: Network Intelligence Center の Flow Analyzer 機能へのリンク。このフィールドは、VPC Flow Logs が有効になっている場合にのみ表示されます。

    1. [JSON] タブをクリックして、次のフィールドを確認します。

      • evidence:
      • sourceLogId:
        • projectID: 問題が検出されたプロジェクトの ID。
      • properties:
      • InstanceDetails: Compute Engine インスタンスのリソース アドレス

ステップ 2: 権限と設定を確認する

  1. Google Cloud コンソールで、[ダッシュボード] ページに移動します。

    [ダッシュボード] に移動

  2. [概要] タブの [プロジェクトのフルネーム] 行で指定されたプロジェクトを選択します。

  3. [リソース] カードに移動し、[Compute Engine] をクリックします。

  4. [リソースの完全な名前] の名前とゾーンに一致する VM インスタンスをクリックします。ネットワークやアクセスの設定など、インスタンスの詳細を確認します。

  5. ナビゲーション パネルで、[VPC ネットワーク]、[ファイアウォール] の順にクリックします。制限が緩すぎるファイアウォール ルールを削除するか無効にします。

ステップ 3: ログを確認する

  1. 検出結果の詳細パネルの [概要] タブで、[Cloud Logging URI] リンクをクリックして [ログ エクスプローラ] を開きます。

  2. 読み込まれたページで、次のフィルタを使用して、[送信元 IP] の IP アドレスに関連する VPC Flow Logs を見つけます。

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      次のように置き換えます。

      • PROJECT_ID は、projectId に表示されているプロジェクトに置き換えます。
      • SOURCE_IP は、検出結果の詳細の [概要] タブの [送信元 IP] 行にある IP アドレスに置き換えます。

ステップ 4: Flow Analyzer を確認する

次のプロセスを実行するには、VPC Flow Logs を有効にする必要があります。

  1. ログ分析を使用するようにログバケットをアップグレードしていることを確認します。手順については、ログ分析を使用するようにバケットをアップグレードするをご覧ください。アップグレードに追加費用はかかりません。

  2. Google Cloud コンソールで、[Flow Analyzer] ページに移動します。

    [Flow Analyzer] に移動

    また、[検出結果の詳細] ペインの [概要] タブにある [関連リンク] セクションの [Flow Analyzer URL] リンクから Flow Analyzer にアクセスすることもできます。

  3. Event Threat Detection の検出結果に関連する情報をさらに調査するには、アクションバーの期間選択ツールを使用して期間を変更します。期間には、検出結果が最初に報告された日時が反映されている必要があります。たとえば、過去 2 時間以内に検出結果が報告された場合は、期間を [過去 6 時間] に設定します。これにより、Flow Analyzer の期間に検出結果が報告された時刻が含まれるようになります。

  4. Flow Analyzer をフィルタして、悪意のある IP の検出結果に関連付けられている IP アドレスの適切な結果を表示します。

    1. [クエリ] セクションの [ソース] 行にある [フィルタ] メニューから、[IP] を選択します。

    2. [] フィールドに、検出結果に関連付けられている IP アドレスを入力し、[新しいクエリを実行] をクリックします。

      Flow Analyzer に IP アドレスの結果が表示されない場合は、[ソース] 行からフィルタをクリアし、[宛先] 行で同じフィルタを使用してクエリを再度実行します。

  5. 結果を分析します。特定のフローの詳細については、[すべてのデータフロー] テーブルで [詳細] をクリックして、[フローの詳細] ペインを開きます。

ステップ 5: 攻撃とレスポンスの手法を調査する

  1. この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ(Dynamic ResolutionCommand and Control)を確認します。
  2. 検出結果の詳細の [概要] タブで、[関連する検出結果] 行の [関連する検出結果] リンクをクリックして、関連する検出結果を確認します。関連する検出結果とは、同じインスタンスとネットワークで検出された同じタイプの検出結果のことです。
  3. [VirusTotal インジケーター] のリンクをクリックして、VirusTotal でフラグが付いている URL とドメインを確認します。VirusTotal は、悪意のある可能性のあるファイル、URL、ドメイン、IP アドレスに関するコンテキストを提供する Alphabet 社のサービスです。
  4. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 6: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

  • マルウェアが存在するプロジェクトのオーナーに連絡します。
  • 不正使用の可能性があるインスタンスを調査し、検出されたマルウェアをすべて削除します。検出と削除をサポートするには、エンドポイントの検出と対応ソリューションを使用します。
  • マルウェアの侵入を可能にするアクティビティと脆弱性を追跡するには、不正使用されたインスタンスに関連付けられた監査ログと syslog を確認します。
  • 必要に応じて、不正使用されたインスタンスを停止し、新しいインスタンスに置き換えます。
  • ファイアウォール ルールを更新するか Cloud Armor を使用して、不正な IP アドレスをブロックします。Cloud Armor は、Security Command Center の [統合されたサービス] ページで有効にできます。データ量によっては、Cloud Armor の費用が高額になる可能性があります。詳細については、Cloud Armor の料金ガイドをご覧ください。
  • VM イメージへのアクセスと使用を制御するには、Shielded VM信頼できるイメージの IAM ポリシーを使用します。

次のステップ