Malware de Log4j: IP incorrecta

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

El malware se detecta examinando los registros de flujo de VPC y los registros de Cloud DNS para identificar conexiones con dominios y direcciones IP de comando y control conocidos.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre el resultado Log4j Malware: Bad IP, tal como se indica en el artículo Revisar resultados. Se abre el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:
     • Dominio indicador: en el caso de los resultados de Bad domain, el dominio que ha activado el resultado.
     • IP de indicador: la dirección IP que ha activado el resultado.
     • IP de origen: una dirección IP de comando y control de malware conocida.
     • Puerto de origen: el puerto de origen de la conexión.
     • IP de destino: la dirección IP de destino del malware.
     • Puerto de destino: el puerto de destino de la conexión.
     • Protocolo: el número de protocolo IANA asociado a la conexión.
   • Recurso afectado, especialmente los siguientes campos:
     • Nombre completo del recurso: nombre completo del recurso de la instancia de Compute Engine afectada.
     • Nombre completo del proyecto: el nombre completo del recurso del proyecto que contiene la detección.
   • Enlaces relacionados, especialmente los siguientes campos:
     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.
     • Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.
     • Flow Analyzer: enlace a la función Flow Analyzer de Network Intelligence Center. Este campo solo se muestra cuando se habilita VPC Flow Logs.

   1. Haga clic en la pestaña JSON y anote el siguiente campo:

      • evidence:
      • sourceLogId:
        • projectID: el ID del proyecto en el que se ha detectado el problema.
      • properties:
      • InstanceDetails: la dirección del recurso de la instancia de Compute Engine.

Paso 2: Revisa los permisos y la configuración

1. En la Google Cloud consola, ve a la página Panel de control.

   Ir al panel de control

2. Selecciona el proyecto que se especifica en la fila Nombre completo del proyecto de la pestaña Resumen.

3. Ve a la tarjeta Recursos y haz clic en Compute Engine.

4. Haga clic en la instancia de VM que coincida con el nombre y la zona de Nombre completo del recurso. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

5. En el panel de navegación, haga clic en Red VPC y, a continuación, en Firewall. Elimina o inhabilita las reglas de cortafuegos demasiado permisivas.

Paso 3: Consulta los registros

1. En la pestaña Resumen del panel de detalles de la detección, haga clic en el enlace URI de Cloud Logging para abrir Explorador de registros.

2. En la página que se carga, busque los registros de flujo de VPC relacionados con la dirección IP en IP de origen mediante el siguiente filtro:

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Haz los cambios siguientes:

     • PROJECT_ID para seleccionar el proyecto que aparece en projectId.
     • SOURCE_IP con la dirección IP que aparece en la fila IP de origen de la pestaña Resumen de los detalles de la detección.

Paso 4: Comprueba Flow Analyzer

Debes habilitar los registros de flujo de VPC para llevar a cabo el siguiente proceso.

1. Comprueba que has actualizado tu contenedor de registros para usar Analíticas de registros. Para obtener instrucciones, consulta Actualizar un bucket para usar Log Analytics. No hay ningún coste adicional para actualizar.

2. En la Google Cloud consola, ve a la página Analizador de flujo:

   Ir a Flow Analyzer

   También puedes acceder a Analizador de flujo a través del enlace URL de Analizador de flujo de la sección Enlaces relacionados de la pestaña Resumen del panel Detalles del hallazgo.

3. Para investigar más a fondo la información relacionada con la detección de amenazas de eventos, usa el selector de periodo de la barra de acciones para cambiar el periodo. El periodo debe reflejar cuándo se notificó el hallazgo por primera vez. Por ejemplo, si la detección se ha notificado en las últimas 2 horas, puedes definir el periodo como Últimas 6 horas. De esta forma, el periodo de tiempo de Analizador de flujo incluye el momento en el que se ha informado de la incidencia.

4. Filtra el analizador de flujo para mostrar los resultados adecuados de la dirección IP asociada al hallazgo de IP maliciosa:

   1. En el menú Filtro de la fila Fuente de la sección Consulta, seleccione IP.

   2. En el campo Valor, introduce la dirección IP asociada a la detección y haz clic en Ejecutar nueva consulta.

      Si Analizador de flujo no muestra ningún resultado para la dirección IP, borre el filtro de la fila Fuente y vuelva a ejecutar la consulta con el mismo filtro en la fila Destino.

5. Analiza los resultados. Para obtener más información sobre un flujo concreto, haga clic en Detalles en la tabla Todos los flujos de datos para abrir el panel Detalles del flujo.

Paso 5: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework ATT&CK de MITRE para este tipo de hallazgo: Resolución dinámica y Mando y control.
2. Para consultar los hallazgos relacionados, haga clic en el enlace de la sección Hallazgos relacionados de la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo. Los resultados relacionados son del mismo tipo y de la misma instancia y red.
3. Consulta las URLs y los dominios marcados en VirusTotal haciendo clic en el enlace del indicador de VirusTotal. VirusTotal es un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
4. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 6: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

• Ponte en contacto con el propietario del proyecto que contiene malware.
• Investiga la instancia que puede estar en peligro y elimina el malware que encuentres. Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.
• Para monitorizar la actividad y las vulnerabilidades que han permitido insertar malware, consulta los registros de auditoría y los registros del sistema asociados a la instancia vulnerada.
• Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva instancia.
• Bloquea las direcciones IP maliciosas actualizando las reglas del cortafuegos o usando Cloud Armor. Puedes habilitar Cloud Armor en la página Servicios integrados de Security Command Center. En función del volumen de datos, los costes de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.
• Para controlar el acceso y el uso de imágenes de máquinas virtuales, usa la política de IAM de VM blindada y Imágenes de confianza.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.