Esta página se ha traducido con Cloud Translation API.

Malware: archivo malicioso en el disco (YARA)

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

Detección de amenazas en VMs ha detectado un archivo potencialmente malicioso al analizar los discos persistentes de una VM de Compute Engine en busca de firmas de malware conocidas.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre el Malware: Malicious file on disk (YARA) tal como se indica en Revisar los resultados. Se abre el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Nombre de regla de YARA: la regla de YARA que se ha encontrado.
  - Archivos: el UUID de la partición y la ruta relativa del archivo potencialmente malicioso que se ha detectado.
- Recurso afectado, especialmente los siguientes campos:
  - Nombre completo del recurso: el nombre completo del recurso de la instancia de VM afectada, incluido el ID del proyecto que la contiene.
Para ver el JSON completo de este resultado, en la vista de detalles del resultado, haga clic en la pestaña JSON.
En el JSON, ten en cuenta los siguientes campos:
- indicator
  - signatures:
    - yaraRuleSignature: una firma correspondiente a la regla de YARA que se ha encontrado.

Paso 2: Consulta los registros

Para consultar los registros de una instancia de VM de Compute Engine, sigue estos pasos:

En la Google Cloud consola, ve a Explorador de registros.

Ir a Explorador de registros
En la Google Cloud barra de herramientas de la consola, selecciona el proyecto que contiene la instancia de VM, tal como se especifica en la fila Nombre completo del recurso de la pestaña Resumen de los detalles de la detección.
Consulta los registros para detectar signos de intrusión en la instancia de VM afectada. Por ejemplo, comprueba si hay actividades sospechosas o desconocidas y si hay indicios de que se han vulnerado las credenciales.

Para obtener información sobre cómo consultar los registros de una instancia de VM de Amazon EC2, consulta la documentación de Amazon CloudWatch Logs.

Paso 3: Revisa los permisos y la configuración

En la pestaña Resumen de los detalles de la detección, haga clic en el enlace del campo Nombre completo del recurso.
Revisa los detalles de la instancia de VM, incluidos los ajustes de red y acceso.

Paso 4: Investiga los métodos de ataque y respuesta

Comprueba el valor del hash SHA-256 del archivo binario marcado como malicioso en VirusTotal haciendo clic en el enlace del indicador de VirusTotal. VirusTotal es un servicio propiedad de Alphabet que proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Ponte en contacto con el propietario de la máquina virtual.
Si es necesario, busca y elimina el archivo potencialmente malicioso. Para obtener el UUID de la partición y la ruta relativa del archivo, consulta el campo Archivos de la pestaña Resumen de los detalles de la detección. Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.
Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva.
- Máquina virtual de Compute Engine: consulta Detener o reiniciar una instancia de Compute Engine en la documentación de Compute Engine.
  
  Nota: Con el nivel Enterprise de Security Command Center, también puedes realizar esta acción mediante un manual de respuesta ante amenazas.
- Máquina virtual de Amazon EC2: consulta Detener e iniciar instancias de Amazon EC2 en la documentación de AWS.
Para realizar análisis forenses, considera la posibilidad de crear copias de seguridad de las máquinas virtuales y los discos persistentes.
- Máquina virtual de Compute Engine: consulta las opciones de protección de datos en la documentación de Compute Engine.
- Máquina virtual de Amazon EC2: consulta Copias de seguridad y recuperación de Amazon EC2 con capturas y AMIs en la documentación de AWS.
Para investigar más a fondo, puedes usar servicios de respuesta a incidentes como Mandiant.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.