惡意軟體:加密貨幣挖礦無效 IP

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

系統會檢查虛擬私有雲流程記錄檔和 Cloud DNS 記錄檔,找出連往已知指令與控制網域和 IP 位址的連線,藉此偵測惡意軟體。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文的說明,開啟 Malware: Cryptomining Bad IP 發現項目。系統會開啟該發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,特別是下列欄位:
      • 來源 IP:疑似用於加密貨幣挖礦的 IP 位址。
      • 來源通訊埠:連線的來源通訊埠 (如有)。
      • 目的地 IP:目標 IP 位址。
      • 目的地通訊埠:連線的目的地通訊埠 (如有)。
      • 通訊協定:與連線相關聯的 IANA 通訊協定。
    • 受影響的資源
    • 相關連結,包括下列欄位:
      • 記錄 URI:記錄項目連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。
      • 流量分析工具:連結至 Network Intelligence Center 的流量分析工具功能。只有在啟用虛擬私有雲流程記錄時,才會顯示這個欄位。

  3. 在調查結果的詳細資料檢視畫面中,按一下「來源屬性」分頁標籤。

  4. 展開「properties」,並記下下列欄位中的專案和執行個體值:

    • instanceDetails:請記下專案 ID 和 Compute Engine 執行個體的名稱。專案 ID 和執行個體名稱會顯示在下列範例中:

      /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

  5. 如要查看調查結果的完整 JSON,請按一下「JSON」分頁標籤。

步驟 2:檢查權限和設定

  1. 前往 Google Cloud 控制台的「資訊主頁」頁面。

    前往資訊主頁

  2. 選取 properties_project_id 中指定的專案。

  3. 前往「資源」資訊卡,然後點選「Compute Engine」

  4. 按一下與 properties_sourceInstance 相符的 VM 執行個體。調查可能遭入侵的執行個體是否含有惡意軟體。

  5. 在導覽窗格中,依序點選「VPC Network」(虛擬私有雲網路) 和「Firewall」(防火牆)。 移除或停用過於寬鬆的防火牆規則。

步驟 3:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 在 Google Cloud 控制台工具列中選取專案。

  3. 在隨即載入的頁面中,使用下列篩選條件找出與 Properties_ip_0 相關的虛擬私有雲流量記錄:

    • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
    • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

步驟 4:研究攻擊和回應方法

  1. 查看這類發現項目的 MITRE ATT&CK 架構項目: 資源劫持
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

  • 請與含有惡意軟體的專案擁有者聯絡。
  • 調查可能遭入侵的執行個體,並移除發現的任何惡意軟體。如要協助偵測及移除,請使用端點偵測及回應解決方案。
  • 如有必要,請停止遭入侵的執行個體,並換成新的執行個體。
  • 更新防火牆規則或使用 Cloud Armor,封鎖惡意 IP 位址。您可以在 Security Command Center 的「整合式服務」頁面啟用 Cloud Armor。視資料量而定,Cloud Armor 費用可能相當高昂。詳情請參閱 Cloud Armor 定價指南

後續步驟