Malware: IP Buruk Cryptomining

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Malware terdeteksi dengan memeriksa Log Alur VPC dan log Cloud DNS untuk koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

  1. Buka temuan Malware: Cryptomining Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

  2. Di tab Summary, tinjau informasi di bagian berikut:

    • Apa yang terdeteksi, terutama kolom berikut:
      • IP Sumber: alamat IP yang diduga melakukan cryptomining.
      • Port sumber: port sumber koneksi, jika tersedia.
      • IP Tujuan: alamat IP target.
      • Port tujuan: port tujuan koneksi, jika tersedia.
      • Protokol: protokol IANA yang terkait dengan koneksi.
    • Resource yang terpengaruh
    • Link terkait, termasuk kolom berikut:
      • URI Logging: link ke entri Logging.
      • Metode MITRE ATT&CK: link ke dokumentasi MITRE ATT&CK.
      • Temuan terkait: link ke temuan terkait.
      • Flow Analyzer: link ke fitur Flow Analyzer di Network Intelligence Center. Kolom ini hanya ditampilkan jika VPC Flow Logs diaktifkan.

  3. Dalam tampilan detail temuan, klik tab Properti sumber.

  4. Luaskan properties dan catat nilai project dan instance di kolom berikut:

    • instanceDetails: catat project ID dan nama instance Compute Engine. Project ID dan nama instance akan muncul seperti yang ditunjukkan dalam contoh berikut:

      /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

  5. Untuk melihat JSON lengkap temuan, klik tab JSON.

Langkah 2: Tinjau izin dan setelan

  1. Di konsol Google Cloud , buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project yang ditentukan di properties_project_id.

  3. Buka kartu Resources, lalu klik Compute Engine.

  4. Klik instance VM yang cocok dengan properties_sourceInstance. Selidiki instance yang berpotensi disusupi untuk menemukan malware.

  5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

  1. Di konsol Google Cloud , buka Logs Explorer.

    Buka Logs Explorer

  2. Di toolbar konsol Google Cloud , pilih project Anda.

  3. Di halaman yang dimuat, temukan Log Aliran VPC yang terkait dengan Properties_ip_0 dengan menggunakan filter berikut:

    • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
    • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Langkah 4: Meneliti metode serangan dan respons

  1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Pembajakan Resource.
  2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan penelitian MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

  • Hubungi pemilik project yang berisi malware.
  • Selidiki instance yang berpotensi disusupi dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
  • Jika perlu, hentikan instance yang terkompromi dan ganti dengan instance baru.
  • Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Anda dapat mengaktifkan Cloud Armor di halaman Layanan Terintegrasi Security Command Center. Bergantung pada volume data, biaya Cloud Armor bisa cukup besar. Lihat panduan harga Cloud Armor untuk mengetahui informasi selengkapnya.

Langkah berikutnya