Log4j 惡意軟體：無效 IP

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

檢查虛擬私有雲端流程記錄和 Cloud DNS 記錄，找出與已知命令與控制網域和 IP 位址的連線，藉此偵測惡意軟體。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的指示，開啟 Log4j Malware: Bad IP 發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • 指標網域：針對 Bad domain 發現項目，這是觸發該項目的網域。
     • 指標 IP：觸發發現項目的 IP 位址。
     • 來源 IP：已知的惡意軟體指令與控制 IP 位址。
     • 來源通訊埠：連線的來源通訊埠。
     • 目的地 IP：惡意軟體的目標 IP 位址。
     • 目的地通訊埠：連線的目的地通訊埠。
     • 通訊協定：與連線相關聯的 IANA 通訊協定號碼。
   • 受影響的資源，尤其是下列欄位：
     • 資源完整名稱：受影響的 Compute Engine 執行個體的完整資源名稱。
     • 專案全名：包含該發現項目的專案完整資源名稱。
   • 相關連結，尤其是下列欄位：
     • Cloud Logging URI：記錄檔項目的連結。
     • MITRE ATT&CK 方法：連結至 MITRE ATT&CK 文件。
     • 相關發現項目：任何相關發現項目的連結。
     • VirusTotal 指標：連結至 VirusTotal 分析頁面。
     • 流量分析工具：連結至 Network Intelligence Center 的流量分析工具功能。只有在啟用虛擬私有雲流程記錄時，才會顯示這個欄位。

   1. 按一下「JSON」分頁標籤，並注意下列欄位：

      • evidence：
      • sourceLogId：
        • projectID：偵測到問題的專案 ID。
      • properties：
      • InstanceDetails：Compute Engine 執行個體的資源位址。

步驟 2：檢查權限和設定

1. 前往 Google Cloud 控制台的「資訊主頁」頁面。

   前往資訊主頁

2. 在「摘要」分頁的「專案完整名稱」列中，選取指定的專案。

3. 前往「資源」資訊卡，然後點選「Compute Engine」。

4. 按一下與「Resource full name」(資源完整名稱) 中的名稱和區域相符的 VM 執行個體。查看執行個體詳細資料，包括網路和存取權設定。

5. 在導覽窗格中，依序點選「VPC Network」(虛擬私有雲網路) 和「Firewall」(防火牆)。 移除或停用過於寬鬆的防火牆規則。

步驟 3：檢查記錄

1. 在「發現項目詳細資料」面板的「摘要」分頁中，按一下「Cloud Logging URI」連結，開啟「記錄檔探索工具」。

2. 在載入的頁面上，使用下列篩選器，在「來源 IP」中找出與 IP 位址相關的虛擬私有雲流程記錄：

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     更改下列內容：

     • PROJECT_ID，然後選取 projectId 中列出的專案。
     • SOURCE_IP，並與調查結果詳細資料「摘要」分頁中「來源 IP」列出的 IP 位址進行比對。

步驟 4：檢查 Flow Analyzer

您必須啟用虛擬私有雲流量記錄，才能執行下列程序。

1. 確認您已升級記錄檔 bucket，以便使用記錄檔分析功能。 如需操作說明，請參閱「升級 bucket 以使用記錄檔分析工具」。升級不會產生額外費用。

2. 前往 Google Cloud 控制台的「Flow Analyzer」頁面：

   前往 Flow Analyzer

   您也可以透過「發現詳細資料」窗格「摘要」分頁標籤的「相關連結」部分，存取 Flow Analyzer。

3. 如要進一步調查與 Event Threat Detection 發現項目相關的資訊，請使用動作列中的時間範圍挑選器變更時間範圍。時間範圍應反映發現項目首次回報的時間。 舉例來說，如果是在過去 2 小時內回報的發現項目，您可以將時間範圍設為「過去 6 小時」。這樣可確保「流程分析器」中的時間範圍包含發現結果的報告時間。

4. 篩選「流程分析器」，顯示與惡意 IP 發現項目相關聯的 IP 位址適當結果：

   1. 在「Query」(查詢) 區段的「Source」(來源) 列中，從「Filter」(篩選器) 選單選取「IP」。

   2. 在「Value」(值) 欄位中，輸入與發現項目相關聯的 IP 位址，然後按一下「Run New Query」(執行新查詢)。

      如果流量分析器未顯示任何 IP 位址的結果，請清除「來源」列中的篩選器，然後在「目的地」列中套用相同篩選器，再次執行查詢。

5. 分析結果。如要查看特定流程的額外資訊，請按一下「所有資料流程」表格中的「詳細資料」，開啟「流程詳細資料」窗格。

步驟 5：研究攻擊和回應方法

1. 查看這類發現項目的 MITRE ATT&CK 架構項目：動態解析和指令與控制。
2. 如要查看相關發現項目，請在發現項目詳細資料的「摘要」分頁中，點選「相關發現項目」列的「相關發現項目」連結。相關發現項目是指類型相同，且屬於相同執行個體和網路的發現項目。
3. 點選 VirusTotal 指標中的連結，前往 VirusTotal 檢查遭標記的網址和網域。VirusTotal 是 Alphabet 旗下的服務，可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。
4. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

步驟 6：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

• 請與含有惡意軟體的專案擁有者聯絡。
• 調查可能遭入侵的執行個體，並移除發現的任何惡意軟體。如要協助偵測及移除，請使用端點偵測及回應解決方案。
• 如要追蹤允許插入惡意軟體的活動和安全漏洞，請檢查與遭入侵執行個體相關的稽核記錄和系統記錄。
• 如有必要，請停止遭入侵的執行個體，並換成新的執行個體。
• 更新防火牆規則或使用 Cloud Armor，封鎖惡意 IP 位址。您可以在 Security Command Center 的「整合式服務」頁面啟用 Cloud Armor。視資料量而定，Cloud Armor 費用可能相當高昂。詳情請參閱 Cloud Armor 定價指南。
• 如要控管 VM 映像檔的存取權和使用權，請使用受防護的 VM 和信任的映像檔 IAM 政策。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。