Software malicioso: domínio inválido

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

O software malicioso é detetado através da análise dos registos de fluxo da VPC e dos registos do Cloud DNS para ligações a domínios de comando e controlo conhecidos e endereços IP.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra a descoberta Malware: bad domain, conforme indicado em Rever descobertas. O painel de detalhes da deteção é aberto no separador Resumo.

  2. No separador Resumo, reveja as informações nas seguintes secções:

    • O que foi detetado, especialmente os seguintes campos:
      • Domínio indicador: o domínio que acionou a descoberta.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso da instância do Compute Engine afetada.
      • Nome completo do projeto: o nome completo do recurso do projeto que contém a descoberta.
    • Links relacionados, especialmente os seguintes campos:
      • URI do Cloud Logging: link para as entradas do Logging.
      • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
      • Resultados relacionados: links para resultados relacionados.
      • Indicador do VirusTotal: link para a página de análise do VirusTotal.
      • Analisador de fluxo: link para a funcionalidade Analisador de fluxo do Network Intelligence Center. Este campo só é apresentado quando os registos de fluxo de VPC estão ativados.

    1. Clique no separador JSON e tome nota do seguinte campo:

      • evidence:
      • sourceLogId:
        • projectID: o ID do projeto no qual o problema foi detetado.
      • properties:
      • InstanceDetails: o endereço do recurso para a instância do Compute Engine.

Passo 2: reveja as autorizações e as definições

  1. Na Google Cloud consola, aceda à página Painel de controlo.

    Aceda ao painel de controlo

  2. Selecione o projeto especificado na linha Nome completo do projeto no separador Resumo.

  3. Navegue para o cartão Recursos e clique em Compute Engine.

  4. Clique na instância de VM que corresponde ao nome e à zona em Nome completo do recurso. Reveja os detalhes da instância, incluindo as definições de rede e acesso.

  5. No painel de navegação, clique em Rede VPC e, de seguida, em Firewall. Remova ou desative regras de firewall excessivamente permissivas.

Passo 3: verifique os registos

  1. No separador Resumo do painel de detalhes da descoberta, clique no link URI do Cloud Logging para abrir o explorador de registos.

  2. Na página carregada, encontre os registos de fluxo da VPC relacionados com o endereço IP em IP de origem através do seguinte filtro:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Substitua o seguinte:

      • PROJECT_ID com a seleção do projeto apresentado em projectId.
      • SOURCE_IP com o endereço IP indicado na linha IP de origem no separador Resumo dos detalhes da deteção.

Passo 4: verifique o analisador de fluxo

Tem de ativar os registos de fluxo da VPC para realizar o seguinte processo.

  1. Certifique-se de que atualizou o seu contentor de registos para usar o Log Analytics. Para obter instruções, consulte o artigo Atualize um contentor para usar o Log Analytics. Não existem custos adicionais para fazer a atualização.

  2. Na Google Cloud consola, aceda à página Analisador de fluxo:

    Aceda ao Analisador de fluxo

    Também pode aceder ao Analisador de fluxo através do link URL do Analisador de fluxo na secção Links relacionados do separador Resumo do painel Detalhes da pesquisa.

  3. Para investigar mais detalhadamente as informações relativas à descoberta de Deteção de ameaças de eventos, use o selecionador de intervalo de tempo na barra de ações para alterar o período. O período deve refletir a data em que a descoberta foi comunicada pela primeira vez. Por exemplo, se a descoberta tiver sido comunicada nas últimas 2 horas, pode definir o período como Últimas 6 horas. Isto garante que o período no analisador de fluxo inclui o momento em que a descoberta foi comunicada.

  4. Filtre o Analisador de fluxo para apresentar os resultados adequados para o endereço IP associado à deteção de IP malicioso:

    1. No menu Filtro na linha Origem da secção Consulta, selecione IP.

    2. No campo Valor, introduza o endereço IP associado à descoberta e clique em Executar nova consulta.

      Se o analisador de fluxo não apresentar resultados para o endereço IP, limpe o filtro da linha Origem e execute a consulta novamente com o mesmo filtro na linha Destino.

  5. Analise os resultados. Para ver informações adicionais sobre um fluxo específico, clique em Detalhes na tabela Todos os fluxos de dados para abrir o painel Detalhes do fluxo.

Passo 5: pesquise métodos de ataque e resposta

  1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Resolução dinâmica e Comando e controlo.
  2. Reveja as conclusões relacionadas clicando no link em Conclusões relacionadas na linha Conclusões relacionadas no separador Resumo dos detalhes das conclusões. As conclusões relacionadas são do mesmo tipo de conclusão e da mesma instância e rede.
  3. Verifique os URLs e os domínios denunciados no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos.
  4. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 6: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  • Contacte o proprietário do projeto que contém software malicioso.
  • Investigue a instância potencialmente comprometida e remova qualquer software malicioso descoberto. Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.
  • Para acompanhar a atividade e as vulnerabilidades que permitiram a inserção de software malicioso, verifique os registos de auditoria e os registos do sistema associados à instância comprometida.
  • Se necessário, pare a instância comprometida e substitua-a por uma nova instância.
  • Bloqueie os endereços IP maliciosos atualizando as regras da firewall ou usando o Cloud Armor. Pode ativar o Cloud Armor na página Serviços integrados do Security Command Center. Consoante o volume de dados, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.
  • Para controlar o acesso e a utilização de imagens de VMs, use a VM protegida e a política de IAM de imagens fidedignas.

O que se segue?