Log4j 멀웨어: 잘못된 도메인

이 문서에서는 Security Command Center의 위협 발견 항목 유형에 대해 설명합니다. 위협 발견 항목은 위협 감지기가 클라우드 리소스에서 잠재적인 위협을 감지할 때 생성됩니다. 사용 가능한 위협 발견 항목의 전체 목록은 위협 발견 항목 색인을 참고하세요.

개요

VPC 흐름 로그 및 Cloud DNS 로그에서 알려진 명령어 연결, 제어 도메인 및 IP 주소를 검사하여 멀웨어가 있는지 감지합니다.

대응 방법

이 발견 항목에 대응하려면 다음을 수행하세요.

1단계: 발견 항목 세부정보 검토하기

1. 발견 항목 검토의 지시에 따라 Log4j Malware: Bad Domain 발견 항목을 엽니다. 발견 항목의 세부정보 패널의 요약 탭이 열립니다.

2. 요약 탭에서 다음 섹션의 정보를 검토합니다.

   • 특히 다음 필드를 포함하는 감지된 항목:
     • 표시기 도메인: 발견 항목을 트리거한 도메인입니다.
   • 특히 다음 필드를 포함하는 영향을 받는 리소스:
     • 리소스 전체 이름: 영향을 받는 Compute Engine 인스턴스의 전체 리소스 이름
     • 프로젝트 전체 이름: 발견 항목이 포함된 프로젝트의 전체 리소스 이름
   • 특히 다음 필드를 포함하는 관련 링크:
     • Cloud Logging URI: Logging 항목의 링크
     • MITRE ATT&CK 메서드: MITRE ATT&CK 문서의 링크
     • 관련 발견 항목: 모든 관련 발견 항목의 링크
     • VirusTotal 표시기: VirusTotal 분석 페이지 링크
     • Flow Analyzer: Network Intelligence Center의 Flow Analyzer 기능에 대한 링크입니다. 이 필드는 VPC 흐름 로그가 사용 설정된 경우에만 표시됩니다.

   1. JSON 탭을 클릭하고 다음 필드를 확인합니다.

      • evidence:
      • sourceLogId:
        • projectID: 문제가 감지된 프로젝트의 ID
      • properties:
      • InstanceDetails: Compute Engine 인스턴스의 리소스 주소

2단계: 권한 및 설정 검토하기

1. Google Cloud 콘솔에서 대시보드 페이지로 이동합니다.

   대시보드로 이동

2. 요약 탭의 프로젝트 전체 이름 행에 지정된 프로젝트를 선택합니다.

3. 리소스 카드로 이동하여 Compute Engine을 클릭합니다.

4. 리소스 전체 이름에서 이름 및 영역이 일치하는 VM 인스턴스를 클릭합니다. 네트워크 및 액세스 설정을 포함한 인스턴스 세부정보를 검토합니다.

5. 탐색 창에서 VPC 네트워크를 클릭한 다음 방화벽을 클릭합니다. 과도한 권한이 부여된 방화벽 규칙을 삭제하거나 사용 중지합니다.

3단계: 로그 확인하기

1. 발견 항목 세부정보 패널의 요약 탭에서 Cloud Logging URI 링크를 클릭하여 로그 탐색기를 엽니다.

2. 로드되는 페이지에서 다음 필터를 사용하여 소스 IP의 IP 주소와 관련된 VPC 흐름 로그를 찾습니다.

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     다음을 바꿉니다.

     • PROJECT_ID를 projectId에 나열된 프로젝트로 바꿉니다.
     • SOURCE_IP를 발견 항목 세부정보의 요약 탭에 있는 소스 IP 행에 나열된 IP 주소로 바꿉니다.

4단계: Flow Analyzer 확인

다음 프로세스를 수행하려면 VPC 흐름 로그를 사용 설정해야 합니다.

1. 로그 애널리틱스를 사용하도록 로그 버킷을 업그레이드했는지 확인합니다. 자세한 내용은 로그 애널리틱스를 사용하도록 버킷을 업그레이드를 참조하세요. 업그레이드는 추가 비용이 없습니다.

2. Google Cloud 콘솔에서 Flow Analyzer 페이지로 이동합니다.

   Flow Analyzer로 이동

   발견 항목 세부정보 창의 요약 탭에 있는 관련 링크 섹션에서 Flow Analyzer URL 링크를 통해 Flow Analyzer에 액세스할 수도 있습니다.

3. Event Threat Detection 발견 항목과 관련된 정보를 자세히 조사하려면 작업 표시줄의 시간 범위 선택 도구를 사용하여 기간을 변경합니다. 이 기간은 발견 항목이 처음 보고된 시점을 반영합니다. 예를 들어 발견 항목이 지난 2시간 이내에 보고된 경우 기간을 지난 6시간으로 설정할 수 있습니다. 이렇게 하면 Flow Analyzer의 기간에 발견 항목이 보고된 시간이 포함됩니다.

4. Flow Analyzer를 필터링하여 악의적인 IP 발견 항목과 연관된 IP 주소에 대해 적절한 결과를 표시합니다.

   1. 쿼리 섹션의 소스 행에 있는 필터 메뉴에서 IP를 선택합니다.

   2. 값 필드에 발견 항목과 연결된 IP 주소를 입력하고 새 쿼리 실행을 클릭합니다.

      Flow Analyzer에 IP 주소에 대한 결과가 표시되지 않으면 소스 행에서 필터를 지우고 대상 행에 동일한 필터를 사용하여 쿼리를 다시 실행합니다.

5. 결과를 분석합니다. 특정 흐름에 대한 자세한 내용을 보려면 모든 데이터 흐름 테이블에서 세부정보를 클릭하여 흐름 세부정보 창을 엽니다.

5단계: 공격 및 대응 방법 조사하기

1. 이 발견 항목 유형의 MITRE ATT&CK 프레임워크 항목(Dynamic Resolution 및 명령 및 제어)을 검토합니다.
2. 발견 항목 세부정보의 요약 탭에 있는 관련 발견 항목 행에서 관련 발견 항목 링크를 클릭하여 관련 발견 항목을 검토합니다. 관련 발견 항목은 동일한 발견 유형과 동일한 인스턴스 및 네트워크입니다.
3. VirusTotal 표시기에서 링크를 클릭하여 VirusTotal에서 신고된 URL과 도메인을 확인합니다. VirusTotal은 Alphabet 소유 서비스로 잠재적 악성 파일, URL, 도메인 및 IP 주소에 관한 컨텍스트를 제공합니다.
4. 대응 계획을 개발하려면 조사 결과를 MITRE 연구와 결합합니다.

6단계: 대응 구현하기

다음의 응답 계획이 이 발견 항목에 적합할 수 있지만 작업에도 영향을 줄 수 있습니다. 조사에서 수집한 정보를 신중하게 평가하여 발견 항목을 해결할 최선의 방법을 결정해야 합니다.

• 멀웨어가 포함된 프로젝트의 소유자에게 문의합니다.
• 도용 가능성이 있는 인스턴스를 조사하고 발견된 멀웨어를 삭제합니다. 감지 및 삭제를 지원하려면 엔드포인트 감지 및 응답 솔루션을 이용하세요.
• 멀웨어 삽입을 허용하는 활동 및 취약점을 추적하려면 침해된 인스턴스와 연결된 감사 로그와 syslog를 확인하세요.
• 필요한 경우 침해된 인스턴스를 중지하고 새 인스턴스로 바꿉니다.
• 방화벽 규칙을 업데이트하거나 Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Security Command Center 통합 서비스 페이지에서 Cloud Armor를 사용 설정할 수 있습니다. 데이터 볼륨에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정 가이드를 참고하세요.
• VM 이미지의 액세스와 사용을 제어하려면 보안 VM과 신뢰할 수 있는 이미지 IAM 정책을 사용합니다.

다음 단계

• Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
• 위협 발견 항목 색인을 참고하세요.
• Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
• 위협 결과를 생성하는 서비스에 대해 알아봅니다.