Logiciel malveillant Log4j : domaine incorrect

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

Les logiciels malveillants sont détectés en examinant les journaux de flux VPC et les journaux Cloud DNS pour détecter les connexions à des domaines de commande et de contrôle connus ainsi qu'à des adresses IP connues.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Log4j Malware: Bad Domain, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Domaine de l'indicateur : domaine qui a déclenché le résultat.
   • Ressource concernée, en particulier les champs suivants :
     • Nom complet de la ressource : nom complet de la ressource de l'instance Compute Engine concernée.
     • Nom complet du projet : nom complet de la ressource du projet contenant le résultat.
   • Liens associés, en particulier les champs suivants :
     • URI Cloud Logging : lien vers les entrées de journalisation.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les résultats associés.
     • Indicateur VirusTotal : lien vers la page d'analyse VirusTotal.
     • Flow Analyzer : lien vers la fonctionnalité Flow Analyzer de Network Intelligence Center. Ce champ ne s'affiche que lorsque les journaux de flux VPC sont activés.

   1. Cliquez sur l'onglet JSON et notez le champ suivant :

      • evidence :
      • sourceLogId :
        • projectID : ID du projet dans lequel le problème a été détecté.
      • properties :
      • InstanceDetails : adresse de la ressource pour l'instance Compute Engine.

Étape 2 : Vérifier les autorisations et les paramètres

1. Dans la console Google Cloud , accédez à la page Tableau de bord.

   Accéder au tableau de bord

2. Sélectionnez le projet spécifié dans la ligne Nom complet du projet de l'onglet Résumé.

3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

4. Cliquez sur l'instance de VM qui correspond au nom et à la zone dans Nom complet de la ressource. Vérifiez les détails de l'instance, y compris les paramètres réseau et d'accès.

5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3 : Vérifier les journaux

1. Dans l'onglet Récapitulatif du panneau "Détails du résultat", cliquez sur le lien URI Cloud Logging pour ouvrir l'explorateur de journaux.

2. Sur la page qui s'affiche, recherchez les journaux de flux VPC associés à l'adresse IP dans Adresse IP source à l'aide du filtre suivant :

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Remplacez les éléments suivants :

     • PROJECT_ID, puis sélectionnez le projet listé dans projectId.
     • SOURCE_IP par l'adresse IP indiquée sur la ligne Adresse IP source de l'onglet Résumé des détails du résultat.

Étape 4 : Vérifiez l'analyseur de flux

Vous devez activer les journaux de flux VPC pour effectuer la procédure suivante.

1. Assurez-vous d'avoir mis à niveau votre bucket de journaux pour utiliser l'Analyse de journaux. Pour obtenir des instructions, consultez Mettre à niveau un bucket pour utiliser l'analyse de journaux. La mise à niveau n'entraîne aucuns frais supplémentaires.

2. Dans la console Google Cloud , accédez à la page Analyseur de flux :

   Accéder à Flow Analyzer

   Vous pouvez également accéder à Flow Analyzer via le lien URL de Flow Analyzer dans la section Liens associés de l'onglet Récapitulatif du volet Détails du résultat.

3. Pour examiner plus en détail les informations concernant le résultat Event Threat Detection, utilisez le sélecteur de période dans la barre d'action pour modifier la période. La période doit correspondre à la date à laquelle le résultat a été signalé pour la première fois. Par exemple, si le problème a été signalé au cours des deux dernières heures, vous pouvez définir la période sur Dernières six heures. Cela permet de s'assurer que la période dans l'analyseur de flux inclut le moment où le problème a été signalé.

4. Filtrez l'analyseur de flux pour afficher les résultats appropriés pour l'adresse IP associée au résultat d'adresse IP malveillante :

   1. Dans le menu Filtrer de la ligne Source de la section Requête, sélectionnez IP.

   2. Dans le champ Valeur, saisissez l'adresse IP associée au résultat, puis cliquez sur Exécuter une nouvelle requête.

      Si l'analyseur de flux n'affiche aucun résultat pour l'adresse IP, effacez le filtre de la ligne Source et exécutez à nouveau la requête avec le même filtre dans la ligne Destination.

5. Analysez les résultats. Pour en savoir plus sur un flux spécifique, cliquez sur Détails dans le tableau Tous les flux de données pour ouvrir le volet Détails du flux.

Étape 5 : Étudier les méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Résolution dynamique et Commande et contrôle.
2. Consultez les résultats associés en cliquant sur le lien Résultats associés dans la ligne Résultats associés de l'onglet Récapitulatif des détails du résultat. Les résultats associés sont du même type de résultat, sur la même instance et sur le même réseau.
3. Vérifiez les URL et les domaines signalés dans VirusTotal en cliquant sur le lien dans l'indicateur VirusTotal. VirusTotal est un service appartenant à Alphabet qui fournit du contexte sur des fichiers, des URL, des domaines et des adresses IP potentiellement malveillants.
4. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 6 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

• Contactez le propriétaire du projet contenant les logiciels malveillants.
• Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés. Pour faciliter la détection et la suppression, utilisez une solution de détection et de gestion des points de terminaison.
• Pour suivre l'activité et les failles ayant permis l'insertion de logiciels malveillants, consultez les journaux d'audit et les journaux syslog associés à l'instance compromise.
• Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.
• Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou en utilisant Cloud Armor. Vous pouvez activer Cloud Armor sur la page Services intégrés de Security Command Center. Selon le volume de données, les coûts de Cloud Armor peuvent être importants. Pour en savoir plus, consultez le guide des tarifs de Cloud Armor.
• Pour contrôler les accès et l'utilisation des images de VM, utilisez les stratégies IAM de VM protégée et d'image de confiance.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces