Malware: File berbahaya di disk

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Deteksi Ancaman VM mendeteksi file yang berpotensi berbahaya dengan memindai persistent disk VM Amazon Elastic Compute Cloud (EC2) untuk menemukan tanda tangan malware yang diketahui.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Malware: Malicious file on disk, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Nama aturan YARA: aturan YARA yang cocok.
     • File: UUID partisi dan jalur relatif file yang berpotensi berbahaya yang terdeteksi.
   • Resource yang terpengaruh, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.

3. Untuk melihat JSON lengkap temuan ini, di tampilan detail temuan, klik tab JSON.

4. Dalam JSON, perhatikan kolom berikut:

   • indicator
     • signatures:
       • yaraRuleSignature: tanda tangan yang sesuai dengan aturan YARA yang cocok.

Langkah 2: Periksa log

Untuk memeriksa log instance VM Compute Engine, ikuti langkah-langkah berikut:

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang berisi instance VM, seperti yang ditentukan di baris Nama lengkap resource di tab Ringkasan pada detail temuan.

3. Periksa log untuk melihat tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Untuk mengetahui informasi tentang cara memeriksa log untuk instance VM Amazon EC2, lihat dokumentasi Amazon CloudWatch Logs.

Langkah 3: Tinjau izin dan setelan

1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Meneliti metode serangan dan respons

Periksa nilai hash SHA-256 untuk file biner yang ditandai sebagai berbahaya di VirusTotal dengan mengklik link di Indikator VirusTotal. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

1. Hubungi pemilik VM.

2. Jika perlu, temukan dan hapus file yang berpotensi berbahaya. Untuk mendapatkan UUID partisi dan jalur relatif file, lihat kolom File di tab Ringkasan detail temuan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.

3. Jika perlu, hentikan instance yang terganggu dan ganti dengan instance baru.

   • VM Compute Engine: Lihat Menghentikan atau memulai ulang instance Compute Engine di dokumentasi Compute Engine.

   • VM Amazon EC2: Lihat Menghentikan dan memulai instance Amazon EC2 dalam dokumentasi AWS.

4. Untuk analisis forensik, pertimbangkan untuk mencadangkan virtual machine dan persistent disk.

   • VM Compute Engine: Lihat Opsi perlindungan data dalam dokumentasi Compute Engine.
   • VM Amazon EC2: Lihat Pencadangan dan pemulihan Amazon EC2 dengan snapshot dan AMI dalam dokumentasi AWS.

5. Untuk penyelidikan lebih lanjut, pertimbangkan untuk menggunakan layanan respons insiden seperti Mandiant.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.