Logiciel malveillant: fichier malveillant sur le disque

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

VM Threat Detection a détecté un fichier potentiellement malveillant en analysant les disques persistants d'une VM Amazon Elastic Compute Cloud (EC2) à la recherche de signatures de logiciels malveillants connues.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez le résultat Malware: Malicious file on disk, comme indiqué dans Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

   • Ce qui a été détecté, en particulier les champs suivants :
     • Nom de la règle YARA : règle YARA qui a été mise en correspondance.
     • Fichiers : UUID de la partition et chemin d'accès relatif du fichier potentiellement malveillant détecté.
   • Ressource concernée, en particulier les champs suivants :
     • Nom complet de la ressource : nom complet de la ressource de l'instance de VM concernée, y compris l'ID du projet qui la contient.

3. Pour afficher le code JSON complet de ce résultat, cliquez sur l'onglet JSON dans la vue détaillée du résultat.

4. Dans le JSON, notez les champs suivants :

   • indicator
     • signatures :
       • yaraRuleSignature : signature correspondant à la règle YARA qui a été mise en correspondance.

Étape 2 : Vérifier les journaux

Pour vérifier les journaux d'une instance de VM Compute Engine, procédez comme suit :

1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

   Accéder à l'explorateur de journaux

2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet contenant l'instance de VM, comme indiqué sur la ligne Nom complet de la ressource de l'onglet Récapitulatif des détails du résultat.

3. Consultez les journaux pour détecter des signes d'intrusion sur l'instance de VM concernée. Par exemple, recherchez les activités suspectes ou inconnues, ainsi que les signes de compromission des identifiants.

Pour savoir comment vérifier les journaux d'une instance de VM Amazon EC2, consultez la documentation Journaux Amazon CloudWatch.

Étape 3 : Vérifier les autorisations et les paramètres

1. Dans l'onglet Résumé des détails du résultat, cliquez sur le lien dans le champ Nom complet de la ressource.
2. Vérifiez les détails de l'instance de VM, y compris les paramètres réseau et d'accès.

Étape 4 : Rechercher des méthodes d'attaque et de réponse

Vérifiez la valeur de hachage SHA-256 du fichier binaire signalé comme malveillant sur VirusTotal en cliquant sur le lien dans l'indicateur VirusTotal. VirusTotal est un service appartenant à Alphabet qui fournit du contexte sur les fichiers, URL, domaines et adresses IP potentiellement malveillants.

Étape 5 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

1. Contactez le propriétaire de la VM.

2. Si nécessaire, recherchez et supprimez le fichier potentiellement malveillant. Pour obtenir l'UUID de la partition et le chemin d'accès relatif du fichier, consultez le champ Fichiers de l'onglet Récapitulatif des détails du résultat. Pour faciliter la détection et la suppression, utilisez une solution de détection et de gestion des points de terminaison.

3. Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.

   • VM Compute Engine : consultez Arrêter ou redémarrer une instance Compute Engine dans la documentation Compute Engine.

   • VM Amazon EC2 : consultez Arrêter et démarrer des instances Amazon EC2 dans la documentation AWS.

4. Pour l'analyse forensique, envisagez de sauvegarder les machines virtuelles et les disques persistants.

   • VM Compute Engine : consultez les options de protection des données dans la documentation Compute Engine.
   • VM Amazon EC2 : consultez Sauvegarde et récupération Amazon EC2 avec des instantanés et des AMI dans la documentation AWS.

5. Pour approfondir vos investigations, pensez à utiliser des services de réponse aux incidents tels que Mandiant.

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection des menaces dans Security Command Center.
• Consultez l'index des résultats de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• En savoir plus sur les services qui génèrent des résultats de détection des menaces