Software malicioso de Log4j: IP incorrecta

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

El software malicioso se detecta mediante el examen de los registros del flujo de VPC y de los registros de Cloud DNS para las conexiones a dominios de control y comandos conocidos, y a direcciones IP.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

  1. Abre el hallazgo de Log4j Malware: Bad IP, como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Dominio indicador: Para los hallazgos de Bad domain, es el dominio que activó el hallazgo.
      • IP del indicador: Es la dirección IP que activó el hallazgo.
      • IP de origen: Es una dirección IP de comando y control de software malicioso conocida.
      • Puerto de origen: Es el puerto de origen de la conexión.
      • IP de destino: Es la dirección IP de destino del software malicioso.
      • Puerto de destino: Es el puerto de destino de la conexión.
      • Protocolo: Es el número de protocolo de IANA asociado con la conexión.
    • Recurso afectado, en especial los siguientes campos:
      • Nombre completo del recurso: Es el nombre completo del recurso de la instancia de Compute Engine afectada.
      • Nombre completo del proyecto: Es el nombre completo del recurso del proyecto que contiene el hallazgo.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
      • Resultados relacionados: Vínculos a los resultados relacionados
      • Indicador de VirusTotal: Vínculo a la página de análisis de VirusTotal
      • Flow Analyzer: Vínculo a la función Flow Analyzer de Network Intelligence Center. Este campo solo se muestra cuando los registros de flujo de VPC están habilitados.

    1. Haz clic en la pestaña JSON y observa el siguiente campo:

      • evidence:
      • sourceLogId:
        • projectID: Es el ID del proyecto en el que se detectó el problema.
      • properties:
      • InstanceDetails: Es la dirección del recurso de la instancia de Compute Engine.

Paso 2: Revisa los permisos y la configuración

  1. En la consola de Google Cloud , ve a la página Panel.

    Ir al panel

  2. Selecciona el proyecto que se especifica en la fila Nombre completo del proyecto de la pestaña Resumen.

  3. Navega a la tarjeta Recursos y haz clic en Compute Engine.

  4. Haz clic en la instancia de VM que coincide con el nombre y la zona en Nombre completo del recurso. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

  5. En el panel de navegación, haz clic en Red de VPC y, luego, en Firewall. Quita o inhabilita las reglas de firewall con demasiados permisos.

Paso 3: Comprueba los registros

  1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.

  2. En la página que se carga, busca los registros del flujo de VPC relacionados con la dirección IP en IP de origen con el siguiente filtro:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Reemplaza lo siguiente:

      • PROJECT_ID con la opción para seleccionar el proyecto que aparece en projectId.
      • SOURCE_IP con la dirección IP que aparece en la fila IP de origen de la pestaña Resumen de los detalles del hallazgo

Paso 4: Verifica Flow Analyzer

Debes habilitar los registros de flujo de VPC para realizar el siguiente proceso.

  1. Asegúrate de haber actualizado tu bucket de registros para usar el Análisis de registros. Para obtener instrucciones, consulta Actualiza un bucket para usar el Análisis de registros. La actualización no tiene costo adicional.

  2. En la consola de Google Cloud , ve a la página Analizador de flujo:

    Ir a Flow Analyzer

    También puedes acceder a Flow Analyzer a través del vínculo URL de Flow Analyzer en la sección Vínculos relacionados de la pestaña Resumen del panel Detalles del hallazgo.

  3. Para investigar más a fondo la información relacionada con el hallazgo de Event Threat Detection, usa el selector de intervalo de la barra de acciones para cambiar el período. El período debe reflejar el momento en que se informó el hallazgo por primera vez. Por ejemplo, si el hallazgo se informó en las últimas 2 horas, puedes establecer el período en Últimas 6 horas. Esto garantiza que el período del Analizador de flujo incluya el momento en que se informó el hallazgo.

  4. Filtra el Analizador de flujo para mostrar los resultados adecuados para el hallazgo de IP maliciosa asociado a la dirección IP:

    1. En el menú Filtro de la fila Fuente de la sección Consulta, selecciona IP.

    2. En el campo Valor, ingresa la dirección IP asociada con el hallazgo y haz clic en Ejecutar nueva consulta.

      Si el Analizador de flujo no muestra ningún resultado para la dirección IP, borra el filtro de la fila Fuente y vuelve a ejecutar la consulta con el mismo filtro en la fila Destino.

  5. Analiza los resultados. Para obtener información adicional sobre un flujo específico, haz clic en Detalles en la tabla Todos los flujos de datos para abrir el panel Detalles del flujo.

Paso 5: Investiga los métodos de ataque y respuesta

  1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de resultado: Resolución dinámica y comando y control.
  2. Haz clic en el vínculo de Resultados relacionados en la fila Resultados relacionados de la pestaña Resumen de los detalles del resultado para revisar los resultados relacionados. Los hallazgos relacionados tienen el mismo tipo de resultado, y la misma instancia y red.
  3. Para verificar las URLs y los dominios marcados en VirusTotal, haz clic en el vínculo en el indicador de VirusTotal. VirusTotal es un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URL, dominios y direcciones IP potencialmente maliciosos.
  4. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 6: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

  • Comunícate con el propietario del proyecto que contiene software malicioso.
  • Investiga la instancia potencialmente comprometida y quita cualquier software malicioso que se haya descubierto. Para ayudar con la detección y la eliminación, usa una solución de detección y respuesta de extremos.
  • Para realizar un seguimiento de la actividad y las vulnerabilidades que permitieron la inserción de software malicioso, verifica los registros de auditoría y los registros de sistema asociados con la instancia comprometida.
  • Si es necesario, detén la instancia comprometida y reemplázala por una nueva.
  • Actualiza las reglas del firewall o usa Cloud Armor para bloquear las direcciones IP maliciosas. Puedes habilitar Cloud Armor en la página Servicios integrados de Security Command Center. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.
  • Para controlar el acceso y el uso de imágenes de VM, usa la política de IAM de VM protegida y de imágenes confiables.

¿Qué sigue?