マルウェア: クリプトマイニングの不正な IP

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

VPC Flow Logs と Cloud DNS ログで既知のコマンド、制御ドメイン、IP アドレスへの接続を調査したところ、マルウェアが検出されました。

対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Malware: Cryptomining Bad IP の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

   • 検出された内容（特に次のフィールド）:
     • 送信元 IP: 暗号通貨のマイニングが疑われる IP アドレス。
     • 送信元ポート: 接続の送信元ポート（利用可能な場合）。
     • 宛先 IP: ターゲット IP アドレス。
     • 宛先ポート: 接続の宛先ポート（利用可能な場合）。
     • プロトコル: 接続に関連付けられている IANA プロトコル。
   • 影響を受けているリソース
   • 関連リンク（次のフィールドを含む）:
     • ロギング URI: ログエントリへのリンク。
     • MITRE ATT&CK 方式: MITRE ATT&CK ドキュメントへのリンク。
     • 関連する検出結果: 関連する検出結果へのリンク。
     • Flow Analyzer: Network Intelligence Center の Flow Analyzer 機能へのリンク。このフィールドは、VPC Flow Logs が有効になっている場合にのみ表示されます。

3. 検出結果の詳細ビューで、[参照元プロパティ] タブをクリックします。

4. [プロパティ] を開いて、次のフィールドのプロジェクトとインスタンスの値をメモします。

   • instanceDetails: プロジェクト ID と Compute Engine インスタンスの名前をメモします。プロジェクト ID とインスタンス名は次の例のようになります。

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. 検出結果の完全な JSON を表示するには、[JSON] タブをクリックします。

ステップ 2: 権限と設定を確認する

1. Google Cloud コンソールで、[ダッシュボード] ページに移動します。

   [ダッシュボード] に移動

2. properties_project_id で指定されたプロジェクトを選択します。

3. [リソース] カードに移動し、[Compute Engine] をクリックします。

4. properties_sourceInstance に一致する VM インスタンスをクリックします。不正使用された可能性のあるインスタンスがないか調査します。

5. ナビゲーション パネルで、[VPC ネットワーク]、[ファイアウォール] の順にクリックします。制限が緩すぎるファイアウォール ルールを削除するか無効にします。

ステップ 3: ログを確認する

1. Google Cloud コンソールで、[ログ エクスプローラ] に移動します。

   [ログ エクスプローラ] に移動

2. Google Cloud コンソールのツールバーでプロジェクトを選択します。

3. 読み込まれたページで、次のフィルタを使用して、Properties_ip_0 に関連する VPC Flow Logs を見つけます。

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

ステップ 4: 攻撃とレスポンスの手法を調査する

1. この検出結果タイプに対応する MITRE ATT&CK フレームワーク エントリ（Resource Hijacking）を確認します。
2. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

• マルウェアが存在するプロジェクトのオーナーに連絡します。
• 不正使用の可能性があるインスタンスを調査し、検出されたマルウェアをすべて削除します。検出と削除をサポートするには、エンドポイントの検出と対応ソリューションを使用します。
• 必要に応じて、不正使用されたインスタンスを停止し、新しいインスタンスに置き換えます。
• ファイアウォール ルールを更新するか Cloud Armor を使用して、不正な IP アドレスをブロックします。Cloud Armor は、Security Command Center の [統合されたサービス] ページで有効にできます。データ量によっては、Cloud Armor の費用が高額になる可能性があります。詳細については、Cloud Armor の料金ガイドをご覧ください。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを確認する。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。