Malware: criptomoedas com IP inválido

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

O malware é detectado examinando os Registros de fluxo da VPC e os registros do Cloud DNS em busca de conexões com domínios de comando e controle e endereços IP conhecidos.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra uma descoberta Malware: Cryptomining Bad IP, conforme direcionado em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • IP de origem: o endereço IP de criptomineração suspeito.
      • Porta de origem: a porta de origem da conexão, se disponível.
      • IP de destino: é o endereço IP de destino.
      • Porta de destino: a porta de destino da conexão, se disponível.
      • Protocolo: o protocolo IANA associado à conexão.
    • Recurso afetado
    • Links relacionados, incluindo os seguintes campos:
      • URI do Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
      • Flow Analyzer: link para o recurso Flow Analyzer do Network Intelligence Center. Esse campo só aparece quando os registros de fluxo da VPC estão ativados.

  3. Na visualização detalhada da descoberta, clique na guia Propriedades de origem.

  4. Abra Propriedades e anote os valores de projeto e instância no seguinte campo:

    • instanceDetails: anote o ID do projeto e o nome da instância do Compute Engine. O ID do projeto e o nome da instância aparecem conforme mostrado neste exemplo:

      /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

  5. Para ver o JSON completo da descoberta, clique na guia JSON.

Etapa 2: verificar as permissões e configurações

  1. No console Google Cloud , acesse a página Painel.

    Ir para o Painel

  2. Selecione o projeto especificado em properties_project_id.

  3. Acesse o card Recursos e clique em Compute Engine.

  4. Clique na instância de VM correspondente a properties_sourceInstance. Investigue a instância possivelmente comprometida em busca de malware.

  5. No painel de navegação, clique em Rede VPC e em Firewall. Remova ou desative regras de firewall excessivamente permissivas.

Etapa 3: verificar os registros

  1. No console Google Cloud , acesse Análise de registros.

    Acessar o Explorador de registros

  2. Na barra de ferramentas do console Google Cloud , selecione seu projeto.

  3. Na página carregada, localize os Registros de fluxo da VPC relacionados a Properties_ip_0 usando este filtro:

    • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
    • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Etapa 4: pesquisar métodos de ataque e resposta

  1. Verifique as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Resource Hijacking.
  2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  • Entre em contato a pessoa a quem o projeto com o malware pertence.
  • Investigue a instância possivelmente comprometida e remova qualquer malware descoberto. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.
  • Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.
  • Bloqueie os endereços IP maliciosos atualizando regras de firewall ou usando o Cloud Armor. Ative o Cloud Armor na página Serviços integrados do Security Command Center. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.

A seguir