Software malicioso: IP incorreto de mineração de criptomoedas

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

O software malicioso é detetado através da análise dos registos de fluxo da VPC e dos registos do Cloud DNS para ligações a domínios e endereços IP de comando e controlo conhecidos.

A Deteção de ameaças com base em eventos é a origem desta descoberta.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

1. Abra uma Malware: Cryptomining Bad IPdescoberta, conforme indicado em Rever descobertas. O painel de detalhes da descoberta é aberto no separador Resumo.

2. No separador Resumo, reveja as informações nas seguintes secções:

   • O que foi detetado, especialmente os seguintes campos:
     • IP de origem: o endereço IP suspeito de mineração de criptomoedas.
     • Porta de origem: a porta de origem da associação, se disponível.
     • IP de destino: o endereço IP de destino.
     • Porta de destino: a porta de destino da ligação, se disponível.
     • Protocolo: o protocolo IANA associado à ligação.
   • Recurso afetado
   • Links relacionados, incluindo os seguintes campos:
     • URI de registo: link para entradas de registo.
     • Método MITRE ATT&CK: link para a documentação do MITRE ATT&CK.
     • Resultados relacionados: links para resultados relacionados.
     • Analisador de fluxo: link para a funcionalidade Analisador de fluxo do Network Intelligence Center. Este campo só é apresentado quando os registos de fluxo de VPC estão ativados.

3. Na vista de detalhes da deteção, clique no separador Propriedades de origem.

4. Expanda as propriedades e tome nota dos valores do projeto e da instância no campo seguinte:

   • instanceDetails: anote o ID do projeto e o nome da instância do Compute Engine. O ID do projeto e o nome da instância são apresentados conforme mostrado no exemplo seguinte:

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Para ver o JSON completo da descoberta, clique no separador JSON.

Passo 2: reveja as autorizações e as definições

1. Na Google Cloud consola, aceda à página Painel de controlo.

   Aceda ao painel de controlo

2. Selecione o projeto especificado em properties_project_id.

3. Navegue para o cartão Recursos e clique em Compute Engine.

4. Clique na instância de VM que corresponde a properties_sourceInstance. Investigue a instância potencialmente comprometida para verificar a existência de software malicioso.

5. No painel de navegação, clique em Rede VPC e, de seguida, em Firewall. Remova ou desative regras de firewall excessivamente permissivas.

Passo 3: verifique os registos

1. Na Google Cloud consola, aceda ao Explorador de registos.

   Aceda ao Explorador de registos

2. Na Google Cloud barra de ferramentas da consola, selecione o seu projeto.

3. Na página carregada, encontre os registos de fluxo da VPC relacionados com Properties_ip_0 usando o seguinte filtro:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Passo 4: pesquise métodos de ataque e resposta

1. Reveja as entradas da framework MITRE ATT&CK para este tipo de descoberta: Roubo de recursos.
2. Para desenvolver um plano de resposta, combine os resultados da sua investigação com a investigação da MITRE.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

• Contacte o proprietário do projeto que contém software malicioso.
• Investigue a instância potencialmente comprometida e remova qualquer software malicioso descoberto. Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.
• Se necessário, pare a instância comprometida e substitua-a por uma nova instância.
• Bloqueie os endereços IP maliciosos atualizando as regras da firewall ou usando o Cloud Armor. Pode ativar o Cloud Armor na página Serviços integrados do Security Command Center. Consoante o volume de dados, os custos do Cloud Armor podem ser significativos. Consulte o guia de preços do Cloud Armor para mais informações.

O que se segue?

• Saiba como trabalhar com as conclusões de ameaças no Security Command Center.
• Consulte o índice de resultados de ameaças.
• Saiba como rever uma descoberta através da Google Cloud consola.
• Saiba mais sobre os serviços que geram resultados de ameaças.