Malware Log4j: Domain Buruk

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Malware terdeteksi dengan memeriksa Log Alur VPC dan log Cloud DNS untuk koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Log4j Malware: Bad Domain, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

  2. Di tab Summary, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • Domain indikator: domain yang memicu temuan.
    • Resource yang terpengaruh, terutama kolom berikut:
      • Nama lengkap resource: nama lengkap resource instance Compute Engine yang terpengaruh.
      • Nama lengkap project: nama lengkap resource project yang berisi temuan.
    • Link terkait, terutama kolom berikut:
      • Cloud Logging URI: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Indikator VirusTotal: link ke halaman analisis VirusTotal.
      • Flow Analyzer: link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika VPC Flow Logs diaktifkan.

    1. Klik tab JSON dan perhatikan kolom berikut:

      • evidence:
      • sourceLogId:
        • projectID: ID project tempat masalah terdeteksi.
      • properties:
      • InstanceDetails: alamat resource untuk instance Compute Engine.

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud , buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di baris Project full name pada tab Summary.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan nama dan zona di Nama lengkap resource. Tinjau detail instance, termasuk setelan jaringan dan akses.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

  1. Di tab Ringkasan pada panel detail temuan, klik link URI Cloud Logging untuk membuka Logs Explorer.

  2. Di halaman yang dimuat, temukan VPC Flow Logs yang terkait dengan alamat IP di Source IP menggunakan filter berikut:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Ganti kode berikut:

      • PROJECT_ID dengan memilih project yang tercantum di projectId.
      • SOURCE_IP dengan alamat IP yang tercantum di baris Source IP pada tab Summary di detail temuan.

Langkah 4: Periksa Flow Analyzer

Anda harus mengaktifkan Log Alur VPC untuk melakukan proses berikut.

  1. Pastikan Anda telah mengupgrade bucket log untuk menggunakan Log Analytics. Untuk mengetahui petunjuknya, lihat Mengupgrade bucket untuk menggunakan Log Analytics. Tidak ada biaya tambahan untuk melakukan upgrade.

  2. Di konsol Google Cloud , buka halaman Flow Analyzer:

    Buka Flow Analyzer

    Anda juga dapat mengakses Flow Analyzer melalui link URL Flow Analyzer di bagian Link Terkait pada tab Ringkasan di panel Detail temuan.

  3. Untuk menyelidiki lebih lanjut informasi terkait temuan Event Threat Detection, gunakan pemilih rentang waktu di panel tindakan untuk mengubah jangka waktu. Periode waktu harus mencerminkan saat temuan pertama kali dilaporkan. Misalnya, jika temuan dilaporkan dalam 2 jam terakhir, Anda dapat menetapkan jangka waktu ke 6 jam terakhir. Hal ini memastikan jangka waktu di Flow Analyzer mencakup waktu saat temuan dilaporkan.

  4. Memfilter Flow Analyzer untuk menampilkan hasil yang sesuai untuk alamat IP yang terkait dengan temuan IP berbahaya:

    1. Dari menu Filter di baris Sumber pada bagian Kueri, pilih IP.

    2. Di kolom Nilai, masukkan alamat IP yang terkait dengan temuan dan klik Jalankan Kueri Baru.

      Jika Flow Analyzer tidak menampilkan hasil apa pun untuk alamat IP, hapus filter dari baris Sumber, lalu jalankan kueri lagi dengan filter yang sama di baris Tujuan.

  5. Analisis hasilnya. Untuk informasi tambahan tentang alur tertentu, klik Detail di tabel Semua alur data untuk membuka panel Detail alur.

Langkah 5: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Resolusi Dinamis dan Perintah dan Kontrol.
  2. Tinjau temuan terkait dengan mengklik link di Temuan terkait di baris Temuan terkait pada tab Ringkasan di detail temuan. Temuan terkait adalah jenis temuan yang sama serta instance dan jaringan yang sama.
  3. Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link di indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks pada file, URL, domain, dan alamat IP yang berpotensi berbahaya.
  4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik project yang berisi malware.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang disusupi.
  • Jika perlu, hentikan instance yang terkompromi dan ganti dengan instance baru.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Anda dapat mengaktifkan Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Cloud Armor bisa cukup besar. Lihat panduan harga Cloud Armor untuk mengetahui informasi selengkapnya.
  • Untuk mengontrol akses dan penggunaan image VM, gunakan kebijakan IAM Shielded VM dan Trusted Images.

Langkah berikutnya