멀웨어: 디스크의 악성 파일(YARA)

이 문서에서는 Security Command Center의 위협 발견 사항 유형에 대해 설명합니다. 위협 발견 사항은 위협 탐지기가 클라우드 리소스에서 잠재적인 위협을 탐지할 때 생성됩니다. 사용 가능한 위협 발견 사항의 전체 목록은 위협 발견 사항 색인을 참조하세요.

개요

VM Threat Detection에서 Compute Engine VM의 영구 디스크에서 알려진 멀웨어 서명을 검사하여 잠재적 악성 파일을 감지했습니다.

대응 방법

이 발견 사항에 대응하려면 다음을 수행하세요.

1단계: 발견 사항 세부정보 검토하기

  1. 발견 사항 검토의 지시에 따라 Malware: Malicious file on disk (YARA) 발견 사항을 엽니다. 발견 사항의 세부정보 패널의 요약 탭이 열립니다.

  2. 요약 탭에서 다음 섹션의 정보를 검토합니다.

    • 특히 다음 필드를 포함하는 감지된 항목:
      • YARA 규칙 이름: 일치하는 YARA 규칙
      • 파일: 감지된 잠재적 악성 파일의 파티션 UUID 및 상대 경로
    • 특히 다음 필드를 포함하는 영향을 받는 리소스:
      • 리소스 전체 이름: 영향을 받은 VM 인스턴스의 전체 리소스 이름(해당 인스턴스가 포함된 프로젝트의 ID 등)

  3. 이 발견 사항의 전체 JSON을 보려면 발견 사항의 세부정보 보기에서 JSON 탭을 클릭합니다.

  4. JSON에서는 다음 필드를 확인합니다.

    • indicator
      • signatures:
        • yaraRuleSignature: 일치하는 YARA 규칙에 해당하는 서명

2단계: 로그 확인하기

Compute Engine VM 인스턴스의 로그를 확인하려면 다음 단계를 수행합니다.

  1. Google Cloud 콘솔에서 로그 탐색기로 이동합니다.

    로그 탐색기로 이동

  2. Google Cloud 콘솔 툴바에서 발견 사항 세부정보의 요약 탭의 리소스 전체 이름 행에 지정된 대로 VM 인스턴스를 포함하는 프로젝트를 선택합니다.

  3. 로그에서 영향을 받는 VM 인스턴스에 침입이 있는지 확인합니다. 예를 들어 의심스러운 활동 또는 알 수 없는 활동과 사용자 인증 정보 침해의 징후가 있는지 확인합니다.

Amazon EC2 VM 인스턴스의 로그를 확인하는 방법은 Amazon CloudWatch 로그 문서를 참조하세요.

3단계: 권한 및 설정 검토하기

  1. 발견 사항 세부정보의 요약 탭에 있는 리소스 전체 이름 필드에서 링크를 클릭합니다.
  2. 네트워크 및 액세스 설정을 포함한 VM 인스턴스의 세부정보를 검토합니다.

4단계: 공격 및 대응 방법 조사하기

VirusTotal 표시기에서 링크를 클릭하여 VirusTotal에서 악성으로 표시된 바이너리의 SHA-256 해시 값을 확인합니다. VirusTotal은 Alphabet 소유 서비스로 잠재적 악성 파일, URL, 도메인 및 IP 주소에 관한 컨텍스트를 제공합니다.

5단계: 대응 구현하기

다음의 응답 계획이 이 발견 사항에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 사항을 해결할 최선의 방법을 결정해야 합니다.

  1. VM 소유자에게 문의하세요.

  2. 필요한 경우 잠재적 악성 파일을 찾아 삭제합니다. 파일의 파티션 UUID 및 상대 경로를 확인하려면 발견 사항 세부정보의 요약 탭에 있는 파일 필드를 참조하세요. 감지 및 삭제를 지원하려면 엔드포인트 감지 및 응답 솔루션을 이용하세요.

  3. 필요한 경우 침해된 인스턴스를 중지하고 새 인스턴스로 바꿉니다.

  4. 포렌식 분석을 위해 가상 머신과 영구 디스크를 백업하는 것이 좋습니다.

  5. 추가 조사를 위해 Mandiant와 같은 사고 대응 서비스를 사용하는 것이 좋습니다.

다음 단계