Log4j-Malware: Ungültige IP-Adresse

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Malware wird durch Untersuchung der VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen erkannt.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

  1. Öffnen Sie das Ergebnis Log4j Malware: Bad IP, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

  2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

    • Was wurde erkannt?, insbesondere die folgenden Felder:
      • Indikatordomain: Bei Bad domain-Ergebnissen die Domain, die das Ergebnis ausgelöst hat.
      • Indikator-IP: Die IP-Adresse, die den Befund ausgelöst hat.
      • Quell-IP: eine bekannte Malware-Befehls- und ‑Kontroll-IP-Adresse.
      • Quellport: Der Quellport der Verbindung.
      • Ziel-IP: die Ziel-IP-Adresse der Malware.
      • Zielport: der Zielport der Verbindung.
      • Protokoll: Die IANA-Protokollnummer, die der Verbindung zugeordnet ist.
    • Betroffene Ressource, insbesondere die folgenden Felder:
      • Vollständiger Ressourcenname: Der vollständige Ressourcenname der betroffenen Compute Engine-Instanz.
      • Vollständiger Projektname: Der vollständige Ressourcenname des Projekts, das den Befund enthält.
    • Weitere Informationen, insbesondere die folgenden Felder:
      • Cloud Logging-URI: Link zu Logging-Einträgen.
      • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
      • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
      • VirusTotal-Indikator: Link zur VirusTotal-Analyseseite.
      • Flow Analyzer: Link zur Flow Analyzer-Funktion von Network Intelligence Center. Dieses Feld wird nur angezeigt, wenn VPC-Flusslogs aktiviert sind.

    1. Klicken Sie auf den Tab JSON und notieren Sie sich das folgende Feld:

      • evidence:
      • sourceLogId:
        • projectID: die ID des Projekts, in dem das Problem erkannt wurde.
      • properties:
      • InstanceDetails: die Ressourcenadresse für die Compute Engine-Instanz.

Schritt 2: Berechtigungen und Einstellungen prüfen

  1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

    Zum Dashboard

  2. Wählen Sie das Projekt aus, das in der Zeile Project full name (Vollständiger Projektname) auf dem Tab Summary (Zusammenfassung) angegeben ist.

  3. Rufen Sie die Karte Ressourcen auf und klicken Sie auf Compute Engine.

  4. Klicken Sie auf die VM-Instanz, die dem Namen und der Zone in Vollständiger Ressourcenname entspricht. Prüfen Sie die Instanzdetails einschließlich der Netzwerk- und Zugriffseinstellungen.

  5. Klicken Sie im Navigationsbereich auf VPC-Netzwerk und dann auf Firewall. Firewallregeln mit zu vielen Berechtigungen entfernen oder deaktivieren

Schritt 3: Protokolle prüfen

  1. Klicken Sie im Bereich „Details zu Ergebnissen“ auf dem Tab „Zusammenfassung“ auf den Link Cloud Logging-URI, um den Log-Explorer zu öffnen.

  2. Suchen Sie auf der Seite, die geladen wird, mit dem folgenden Filter nach VPC-Flusslogs, die sich auf die IP-Adresse in Quell-IP beziehen:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Ersetzen Sie Folgendes:

      • PROJECT_ID durch das in projectId aufgeführte Projekt.
      • SOURCE_IP durch die IP-Adresse, die in den Ergebnisdetails auf dem Tab Zusammenfassung in der Zeile Quell-IP aufgeführt ist.

Schritt 4: Flow Analyzer prüfen

Sie müssen VPC-Flusslogs aktivieren, um den folgenden Prozess auszuführen.

  1. Prüfen Sie, ob Sie ein Upgrade für Ihren Log-Bucket zur Verwendung von Log Analytics durchgeführt haben. Eine Anleitung dazu finden Sie unter Bucket für Log Analytics aktualisieren. Für das Upgrade fallen keine zusätzlichen Kosten an.

  2. Rufen Sie in der Google Cloud Console die Seite Flow Analyzer auf:

    Flow Analyzer aufrufen

    Sie können auch über den Link Flow Analyzer-URL im Bereich Zugehörige Links auf dem Tab Zusammenfassung im Bereich Details zu Funden auf Flow Analyzer zugreifen.

  3. Wenn Sie weitere Informationen zum Ergebnis der Event Threat Detection untersuchen möchten, können Sie den Zeitraum mit der Zeitbereichsauswahl in der Aktionsleiste ändern. Der Zeitraum sollte den Zeitpunkt widerspiegeln, zu dem das Ergebnis zum ersten Mal gemeldet wurde. Wenn der Befund beispielsweise in den letzten zwei Stunden gemeldet wurde, können Sie den Zeitraum auf Letzte 6 Stunden festlegen. So wird sichergestellt, dass der Zeitraum in Flow Analyzer die Zeit umfasst, in der der Befund gemeldet wurde.

  4. Filtern Sie Flow Analyzer, um die entsprechenden Ergebnisse für die IP-Adresse anzuzeigen, die mit dem Ergebnis für die schädliche IP-Adresse verknüpft ist:

    1. Wählen Sie im Menü Filter in der Zeile Quelle des Abschnitts Abfrage die Option IP aus.

    2. Geben Sie im Feld Wert die IP-Adresse ein, die mit dem Ergebnis verknüpft ist, und klicken Sie auf Neue Abfrage ausführen.

      Wenn im Flow Analyzer keine Ergebnisse für die IP-Adresse angezeigt werden, entfernen Sie den Filter aus der Zeile Quelle und führen Sie die Abfrage noch einmal mit demselben Filter in der Zeile Ziel aus.

  5. Analysieren Sie die Ergebnisse. Wenn Sie weitere Informationen zu einem bestimmten Ablauf aufrufen möchten, klicken Sie in der Tabelle Alle Datenflüsse auf Details, um den Bereich Ablaufdetails zu öffnen.

Schritt 5: Angriffs- und Reaktionsmethoden untersuchen

  1. Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Dynamische Lösung und Befehl und Kontrolle.
  2. Klicken Sie auf den Tab Zusammenfassung in den Ergebnisdetails in der Zeile Ähnliche Ergebnisse auf den Link unter Ähnliche Ergebnisse, um ähnliche Ergebnisse aufzurufen. Ähnliche Ergebnisse haben denselben Ergebnistyp und dieselbe Instanz und dasselbe Netzwerk.
  3. Prüfen Sie die markierten URLs und Domains auf VirusTotal, indem Sie auf den Link im VirusTotal-Indikator klicken. VirusTotal, ein Alphabet-eigener Dienst, der Kontext zu potenziell schädlichen Dateien, URLs, Domains und IP-Adressen bereitstellt.
  4. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 6: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

  • Wenden Sie sich an den Inhaber des Projekts, das Malware enthält.
  • Untersuchen Sie die potenziell manipulierte Instanz und entfernen Sie erkannte Malware. Verwenden Sie eine Lösung zur Endpunkterkennung und -antwort, um Unterstützung bei der Erkennung und Entfernung zu erhalten.
  • Prüfen Sie Audit-Logs und Syslogs, die mit der manipulierten Instanz verknüpft sind, um Aktivitäten und Sicherheitslücken zu verfolgen, die das Einfügen von Malware ermöglichen.
  • Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.
  • Blockieren Sie die schädlichen IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Sie können Cloud Armor auf der Seite Integrierte Dienste des Security Command Center aktivieren. Abhängig vom Datenvolumen können die Cloud Armor-Kosten beträchtlich sein. Weitere Informationen finden Sie in der Preisübersicht für Cloud Armor.
  • Verwenden Sie die IAM-Richtlinie Shielded VM und Trusted Images, um den Zugriff und die Verwendung von VM-Images zu steuern.

Nächste Schritte