Malware: IP inválido

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

O malware é detectado examinando os Registros de fluxo da VPC e os registros do Cloud DNS em busca de conexões com domínios de comando e controle e endereços IP conhecidos.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Malware: Bad IP, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:
     • IP do indicador: o endereço IP que acionou a descoberta.
     • IP de origem: um comando de malware conhecido e um endereço IP de controle.
     • Porta de origem: a porta de origem da conexão.
     • IP de destino: o endereço IP de destino do malware.
     • Porta de destino: a porta de destino da conexão.
     • Protocolo: o número do protocolo IANA associado à conexão.
   • Recurso afetado, especialmente os seguintes campos:
     • Nome completo do recurso: o nome completo do recurso da instância do Compute Engine afetado.
     • Nome completo do projeto: o nome completo do recurso do projeto que contém a descoberta.
   • Links relacionados, principalmente os seguintes campos:
     • URI do Cloud Logging: link para as entradas do Logging.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Descobertas relacionadas: links para quaisquer descobertas relacionadas.
     • Indicador do VirusTotal: link para a página de análise do VirusTotal.
     • Flow Analyzer: link para o recurso Flow Analyzer do Network Intelligence Center. Esse campo só aparece quando os registros de fluxo da VPC estão ativados.

   1. Clique na guia JSON e observe o seguinte campo:

      • evidence:
      • sourceLogId:
        • projectID: o ID do projeto em que o problema foi detectado.
      • properties:
      • InstanceDetails: o endereço do recurso da instância do Compute Engine.

Etapa 2: verificar as permissões e configurações

1. No console Google Cloud , acesse a página Painel.

   Ir para o Painel

2. Selecione o projeto especificado na linha Nome completo do projeto na guia Resumo.

3. Acesse o card Recursos e clique em Compute Engine.

4. Clique na instância de VM que corresponde ao nome e à zona em Nome completo do recurso. Verifique os detalhes da instância, incluindo as configurações de rede e acesso.

5. No painel de navegação, clique em Rede VPC e em Firewall. Remova ou desative regras de firewall excessivamente permissivas.

Etapa 3: verificar os registros

1. Na guia "Resumo" do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o Explorador de registros.

2. Na página carregada, encontre os registros de fluxo de VPC relacionados ao endereço IP no IP de origem usando este filtro

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Substitua:

     • PROJECT_ID pelo projeto listado em projectId.
     • SOURCE_IP pelo endereço IP listado na linha IP de origem na guia Resumo dos detalhes da descoberta.

Etapa 4: verificar o Flow Analyzer

É necessário ativar os registros de fluxo da VPC para realizar o processo a seguir.

1. Confirme se você fez upgrade do bucket de registros para usar a Análise de dados de registros. Para instruções, consulte Fazer upgrade de um bucket para usar a Análise de dados de registros. Não há custo adicional para fazer upgrade.

2. No console Google Cloud , acesse a página Analisador de fluxos:

   Acessar o Flow Analyzer

   Também é possível acessar o Flow Analyzer pelo link URL do Flow Analyzer na seção Links relacionados da guia Resumo no painel Detalhes da descoberta.

3. Para investigar mais informações sobre a descoberta do Event Threat Detection, use o seletor de período na barra de ações para mudar o período. O período precisa refletir quando a descoberta foi informada pela primeira vez. Por exemplo, se a descoberta foi informada nas últimas duas horas, defina o período como Últimas 6 horas. Isso garante que o período no analisador de fluxo inclua o momento em que a descoberta foi informada.

4. Filtre o Flow Analyzer para mostrar os resultados adequados do endereço IP associado à descoberta de IP malicioso:

   1. No menu Filtro da linha Origem da seção Consulta, selecione IP.

   2. No campo Valor, insira o endereço IP associado à descoberta e clique em Executar nova consulta.

      Se o Analisador de fluxo não mostrar resultados para o endereço IP, limpe o filtro da linha Origem e execute a consulta novamente com o mesmo filtro na linha Destino.

5. Analise os resultados. Para mais informações sobre um fluxo específico, clique em Detalhes na tabela Todos os fluxos de dados para abrir o painel Detalhes do fluxo.

Etapa 5: pesquisar métodos de ataque e resposta

1. Analise as entradas do framework do MITRE ATT&CK em busca deste tipo de descoberta: Resolução dinâmica e Comando e controle.
2. Verifique as descobertas relacionadas clicando no link em Descobertas relacionadas na linha Descobertas relacionadas na guia Resumo dos detalhes da descoberta. As descobertas relacionadas são o mesmo tipo de descoberta e a mesma instância e rede.
3. Verifique os URLs e domínios sinalizados no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.
4. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 6: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

• Entre em contato a pessoa a quem o projeto com o malware pertence.
• Investigue a instância possivelmente comprometida e remova qualquer malware descoberto. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.
• Para rastrear atividades e vulnerabilidades que permitiram a inserção de malware, verifique os registros de auditoria e os syslogs associados à instância comprometida.
• Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.
• Bloqueie os endereços IP maliciosos atualizando regras de firewall ou usando o Cloud Armor. Ative o Cloud Armor na página Serviços integrados do Security Command Center. Dependendo do volume de dados, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.
• Para controlar o acesso e o uso de imagens de VM, use a política VM protegida e Imagens confiáveis de IAM.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.