Malware: arquivo malicioso no disco (YARA)

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A VM Threat Detection detectou um arquivo potencialmente malicioso ao verificar os discos permanentes de uma VM do Compute Engine em busca de assinaturas de malware conhecidas.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

  1. Abra a descoberta Malware: Malicious file on disk (YARA), conforme instruído em Verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seguintes seções:

    • O que foi detectado, especialmente os seguintes campos:
      • Nome da regra YARA: a regra YARA que foi correspondida.
      • Arquivos: o UUID da partição e o caminho relativo do arquivo potencialmente malicioso detectado.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que o contém

  3. Para ver o JSON completo dessa descoberta, clique na guia JSON na visualização detalhada.

  4. No JSON, observe os seguintes campos:

    • indicator
      • signatures:
        • yaraRuleSignature: uma assinatura correspondente à regra YARA que foi correspondida.

Etapa 2: verificar os registros

Para verificar os registros de uma instância de VM do Compute Engine, siga estas etapas:

  1. No console Google Cloud , acesse Análise de registros.

    Acessar o Explorador de registros

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso na guia Resumo dos detalhes de descoberta.

  3. Verifique nos registros se há sinais de invasão na instância da VM afetada. Por exemplo, verifique se há atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Para informações sobre como verificar os registros de uma instância de VM do Amazon EC2, consulte a documentação do Amazon CloudWatch Logs.

Etapa 3: verificar permissões e configurações

  1. Na guia Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
  2. Revise os detalhes da instância de VM, incluindo as configurações de rede e acesso.

Etapa 4: pesquisar métodos de ataque e resposta

Verifique o valor de hash SHA-256 do binário sinalizado como malicioso no VirusTotal clicando no link em Indicador do VirusTotal. O VirusTotal é um serviço da Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente maliciosos.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  1. Entre em contato com o proprietário da VM.

  2. Se necessário, localize e exclua o arquivo potencialmente malicioso. Para acessar o UUID da partição e o caminho relativo do arquivo, consulte o campo Arquivos na guia Resumo dos detalhes da descoberta. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.

  3. Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.

  4. Para análise forense, faça backup das máquinas virtuais e dos discos permanentes.

  5. Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.

A seguir