Malware: IP incorrecta de minería de criptomonedas

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

El malware se detecta examinando los registros de flujo de VPC y los registros de Cloud DNS para identificar conexiones con dominios y direcciones IP de comando y control conocidos.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre un Malware: Cryptomining Bad IP tal como se indica en el artículo Revisar resultados. Se abrirá el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • IP de origen: la dirección IP sospechosa de minería de criptomonedas.
     • Puerto de origen: el puerto de origen de la conexión, si está disponible.
     • IP de destino: la dirección IP de destino.
     • Puerto de destino: el puerto de destino de la conexión, si está disponible.
     • Protocolo: el protocolo IANA asociado a la conexión.
   • Recurso afectado
   • Enlaces relacionados, incluidos los siguientes campos:
     • URI de Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.
     • Flow Analyzer: enlace a la función Flow Analyzer de Network Intelligence Center. Este campo solo se muestra cuando se habilita VPC Flow Logs.

3. En la vista de detalles de la detección, haga clic en la pestaña Propiedades de origen.

4. Amplía properties y anota los valores del proyecto y de la instancia en el siguiente campo:

   • instanceDetails: anota tanto el ID del proyecto como el nombre de la instancia de Compute Engine. El ID del proyecto y el nombre de la instancia aparecen como se muestra en el siguiente ejemplo:

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Para ver el JSON completo de la detección, haga clic en la pestaña JSON.

Paso 2: Revisa los permisos y la configuración

1. En la Google Cloud consola, ve a la página Panel de control.

   Ir al panel de control

2. Selecciona el proyecto especificado en properties_project_id.

3. Ve a la tarjeta Recursos y haz clic en Compute Engine.

4. Haz clic en la instancia de VM que coincida con properties_sourceInstance. Investiga si la instancia potencialmente vulnerada tiene malware.

5. En el panel de navegación, haga clic en Red VPC y, a continuación, en Firewall. Elimina o inhabilita las reglas de cortafuegos demasiado permisivas.

Paso 3: Consulta los registros

1. En la Google Cloud consola, ve a Explorador de registros.

   Ir a Explorador de registros

2. En la barra de herramientas de la Google Cloud consola, selecciona tu proyecto.

3. En la página que se carga, busque los registros de flujo de VPC relacionados con Properties_ip_0 mediante el siguiente filtro:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Paso 4: Investiga los métodos de ataque y respuesta

1. Consulta las entradas del framework ATT&CK de MITRE para este tipo de hallazgo: Secuestro de recursos.
2. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario del proyecto que contiene malware.
• Investiga la instancia que puede estar en peligro y elimina el malware que encuentres. Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.
• Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva instancia.
• Bloquea las direcciones IP maliciosas actualizando las reglas del cortafuegos o usando Cloud Armor. Puedes habilitar Cloud Armor en la página Servicios integrados de Security Command Center. En función del volumen de datos, los costes de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.