Malware: file dannoso sul disco (YARA)

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

VM Threat Detection ha rilevato un file potenzialmente dannoso eseguendo la scansione dei dischi permanenti di una VM di Compute Engine alla ricerca di firme di malware note.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

  1. Apri il risultato Malware: Malicious file on disk (YARA) come indicato in Esamina i risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

  2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

    • Che cosa è stato rilevato, in particolare i seguenti campi:
      • Nome regola YARA: la regola YARA corrispondente.
      • File: l'UUID della partizione e il percorso relativo del file potenzialmente dannoso rilevato.
    • Risorsa interessata, in particolare i seguenti campi:
      • Nome completo della risorsa: il nome completo della risorsa dell'istanza VM interessata, incluso l'ID del progetto che la contiene.

  3. Per visualizzare il JSON completo di questo risultato, fai clic sulla scheda JSON nella visualizzazione dettagliata del risultato.

  4. Nel JSON, prendi nota dei seguenti campi:

    • indicator
      • signatures:
        • yaraRuleSignature: una firma corrispondente alla regola YARA corrispondente.

Passaggio 2: controlla i log

Per controllare i log di un'istanza VM Compute Engine:

  1. Nella console Google Cloud , vai a Esplora log.

    Vai a Esplora log

  2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto che contiene l'istanza VM, come specificato nella riga Nome completo risorsa della scheda Riepilogo dei dettagli del problema.

  3. Controlla i log per rilevare segni di intrusione nell'istanza VM interessata. Ad esempio, controlla la presenza di attività sospette o sconosciute e segni di credenziali compromesse.

Per informazioni su come controllare i log di un'istanza VM Amazon EC2, consulta la documentazione di Amazon CloudWatch Logs.

Passaggio 3: esamina le autorizzazioni e le impostazioni

  1. Nella scheda Riepilogo dei dettagli del risultato, fai clic sul link nel campo Nome completo della risorsa.
  2. Esamina i dettagli dell'istanza VM, incluse le impostazioni di rete e accesso.

Passaggio 4: ricerca di metodi di attacco e risposta

Controlla il valore hash SHA-256 del file binario segnalato come dannoso su VirusTotal facendo clic sul link nell'indicatore VirusTotal. VirusTotal è un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini e indirizzi IP potenzialmente dannosi.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

  1. Contatta il proprietario della VM.

  2. Se necessario, individua ed elimina il file potenzialmente dannoso. Per ottenere l'UUID della partizione e il percorso relativo del file, consulta il campo File nella scheda Riepilogo dei dettagli del risultato. Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.

  3. Se necessario, arresta l'istanza compromessa e sostituiscila con una nuova.

  4. Per l'analisi forense, valuta la possibilità di eseguire il backup delle macchine virtuali e dei dischi permanenti.

  5. Per ulteriori indagini, valuta la possibilità di utilizzare servizi di risposta agli incidenti come Mandiant.

Passaggi successivi