Log4j 恶意软件：网域错误

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成相应的威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

通过检查 VPC 流日志和 Cloud DNS 日志中与已知的命令以及控制网域和 IP 地址的连接，检测到恶意软件。

如何响应

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Log4j Malware: Bad Domain 发现结果。系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • 指示器网域：触发发现结果的网域。
   • 受影响的资源，尤其是以下字段：
     • 资源全名：受影响的 Compute Engine 实例的完整资源名称。
     • 项目全名：包含发现结果的项目的完整资源名称。
   • 相关链接，尤其是以下字段：
     • Cloud Logging URI：指向 Logging 条目的链接。
     • MITRE ATT&CK 方法：指向 MITRE ATT&CK 文档的链接。
     • 相关发现结果：指向任何相关发现结果的链接。
     • VirusTotal 指示器：指向 VirusTotal 分析页面的链接。
     • Flow Analyzer：指向 Network Intelligence Center 的 Flow Analyzer 功能的链接。只有在启用 VPC 流日志后，此字段才会显示。

   1. 点击 JSON 标签页并注意以下字段：

      • evidence：
      • sourceLogId：
        • projectID：在其中检测到问题的项目的 ID。
      • properties：
      • InstanceDetails：Compute Engine 实例的资源地址。

第 2 步：查看权限和设置

1. 在 Google Cloud 控制台中，前往信息中心页面。

   转到信息中心

2. 选择摘要标签页上的项目全名行中指定的项目。

3. 导航到资源卡片，然后点击 Compute Engine。

4. 点击与资源全名中的名称和可用区匹配的虚拟机实例。查看该实例的详细信息，包括网络和访问设置。

5. 在导航窗格中，点击 VPC 网络，然后点击防火墙。 移除或停用过于宽松的防火墙规则。

第 3 步：检查日志

1. 在发现结果详细信息面板的“摘要”标签页上，点击 Cloud Logging URI 链接以打开 Logs Explorer。

2. 在加载的页面上，使用以下过滤条件查找与来源 IP 中的 IP 地址相关的 VPC 流日志：

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     替换以下内容：

     • 将 PROJECT_ID 替换为 projectId 中列出的项目。
     • 将 SOURCE_IP 替换为发现结果详情摘要标签页中的来源 IP 行上列出的 IP 地址。

第 4 步：检查 Flow Analyzer

您必须启用 VPC 流日志才能执行以下过程。

1. 确保您已将日志存储桶升级为使用 Log Analytics。 如需了解相关说明，请参阅升级存储桶以使用 Log Analytics。升级不会产生额外费用。

2. 在 Google Cloud 控制台中，前往 Flow Analyzer 页面：

   前往 Flow Analyzer

   您还可以通过发现结果详细信息窗格的摘要标签页上相关链接部分中的 Flow Analyzer 网址链接访问 Flow Analyzer。

3. 如需进一步调查与 Event Threat Detection 发现结果相关的信息，请使用操作栏中的时间范围选择器更改时间段。时间范围应反映首次报告发现结果的时间。例如，如果发现结果是在过去 2 小时内报告的，您可以将时间范围设置为过去 6 小时。这样可确保 Flow Analyzer 中的时间段包含发现结果的报告时间。

4. 过滤 Flow Analyzer，以显示与恶意 IP 发现结果关联的 IP 地址的适当结果：

   1. 在查询部分的来源行中，从过滤条件菜单中选择 IP。

   2. 在值字段中，输入与相应发现结果关联的 IP 地址，然后点击运行新查询。

      如果 Flow Analyzer 未显示 IP 地址的任何结果，请清除来源行中的过滤条件，然后在目标行中使用相同的过滤条件再次运行查询。

5. 分析结果。如需了解特定流的更多信息，请点击所有数据流表中的详细信息，以打开流详细信息窗格。

第 5 步：研究攻击和响应方法

1. 查看此发现结果类型的 MITRE ATT&CK 框架条目：动态解析以及命令和控制。
2. 点击发现结果详情摘要标签页中相关发现结果行上的相关发现结果的链接，以查看相关发现结果。 相关发现结果属于同一实例和网络上的同一发现结果类型。
3. 点击 VirusTotal 指示器中的链接，以检查 VirusTotal 上标记的网址和网域。VirusTotal 是一项 Alphabet 自有服务，提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。
4. 如需制定响应方案，请将您的调查结果与 MITRE 研究相结合。

第 6 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

• 与包含恶意软件的项目的所有者联系。
• 调查可能被破解的实例，并移除所有发现的恶意软件。为了帮助您检测和移除，请使用端点检测和响应解决方案。
• 如需跟踪可以插入恶意软件的活动和漏洞，请检查与被破解的实例关联的审核日志和系统日志。
• 如有必要，请停止已被破解的实例并用新实例取代。
• 通过更新防火墙规则或使用 Cloud Armor 阻止恶意 IP 地址。您可以在 Security Command Center 集成式服务页面上启用 Cloud Armor。如果数据量很大，Cloud Armor 的费用可能会非常高。如需了解详情，请参阅 Cloud Armor 价格指南。
• 如需控制对虚拟机映像的访问和使用，请使用安全强化型虚拟机和可信映像 IAM 政策。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 查看威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看发现结果。
• 了解生成威胁发现结果的服务。