멀웨어: 암호화폐 채굴 불량 IP

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

VPC 흐름 로그 및 Cloud DNS 로그에서 알려진 명령어 연결, 제어 도메인 및 IP 주소를 검사하여 멀웨어가 있는지 감지합니다.

대응 방법

이 발견 항목에 대응하려면 다음을 수행하세요.

1단계: 발견 항목 세부정보 검토하기

1. 발견 항목 검토의 지시에 따라 Malware: Cryptomining Bad IP 발견 항목을 엽니다. 발견 항목의 세부정보 패널의 요약 탭이 열립니다.

2. 요약 탭에서 다음 섹션의 정보를 검토합니다.

   • 특히 다음 필드를 포함하는 감지된 항목:
     • 소스 IP: 의심스러운 암호화폐 채굴 IP 주소
     • 소스 포트: 연결의 소스 포트(있는 경우)
     • 목적지 IP: 목적지 IP 주소
     • 목적지 포트: 연결의 목적지 포트(사용 가능한 경우)
     • 프로토콜: 연결과 관련된 IANA 프로토콜
   • 영향을 받는 리소스
   • 다음 필드를 포함하는 관련 링크:
     • Logging URI: Logging 항목의 링크
     • MITRE ATT&CK 메서드: MITRE ATT&CK 문서의 링크
     • 관련 발견 항목: 모든 관련 발견 항목의 링크
     • Flow Analyzer: Network Intelligence Center의 Flow Analyzer 기능에 대한 링크입니다. 이 필드는 VPC 흐름 로그가 사용 설정된 경우에만 표시됩니다.

3. 발견 항목의 세부정보 보기에서 소스 속성 탭을 클릭합니다.

4. 속성을 확장하고 다음 필드에서 프로젝트 및 인스턴스 값을 확인합니다.

   • instanceDetails: 프로젝트 ID와 Compute Engine 인스턴스의 이름을 모두 확인합니다. 프로젝트 ID와 인스턴스 이름은 다음 예시와 같이 표시됩니다.

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. 발견 항목의 전체 JSON을 보려면 JSON 탭을 클릭합니다.

2단계: 권한 및 설정 검토하기

1. Google Cloud 콘솔에서 대시보드 페이지로 이동합니다.

   대시보드로 이동

2. properties_project_id에 지정된 프로젝트를 선택합니다.

3. 리소스 카드로 이동하여 Compute Engine을 클릭합니다.

4. properties_sourceInstance와 일치하는 VM 인스턴스를 클릭합니다. 도용 가능성이 있는 인스턴스에서 멀웨어를 조사합니다.

5. 탐색 창에서 VPC 네트워크를 클릭한 다음 방화벽을 클릭합니다. 과도한 권한이 부여된 방화벽 규칙을 삭제하거나 사용 중지합니다.

3단계: 로그 확인하기

1. Google Cloud 콘솔에서 로그 탐색기로 이동합니다.

   로그 탐색기로 이동

2. Google Cloud 콘솔 툴바에서 프로젝트를 선택합니다.

3. 로드되는 페이지에서 다음 필터를 사용하여 Properties_ip_0와 관련된 VPC 흐름 로그를 찾습니다.

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

4단계: 공격 및 대응 방법 조사하기

1. 이 발견 항목 유형의 MITRE ATT&CK 프레임워크 항목 검토: 리소스 도용
2. 대응 계획을 개발하려면 조사 결과를 MITRE 연구와 결합합니다.

5단계: 대응 구현하기

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

• 멀웨어가 포함된 프로젝트의 소유자에게 문의합니다.
• 도용 가능성이 있는 인스턴스를 조사하고 발견된 멀웨어를 삭제합니다. 감지 및 삭제를 지원하려면 엔드포인트 감지 및 응답 솔루션을 이용하세요.
• 필요한 경우 침해된 인스턴스를 중지하고 새 인스턴스로 바꿉니다.
• 방화벽 규칙을 업데이트하거나 Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Security Command Center 통합 서비스 페이지에서 Cloud Armor를 사용 설정할 수 있습니다. 데이터 볼륨에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정 가이드를 참고하세요.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.