恶意软件：磁盘上的恶意文件

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时，会生成威胁发现结果。如需查看可用威胁发现结果的完整列表，请参阅威胁发现结果索引。

概览

VM Threat Detection 通过扫描 Amazon Elastic Compute Cloud (EC2) 虚拟机的永久性磁盘以查找已知恶意签名，检测到一个可能存在恶意行为的文件。

如何应答

如需响应此发现结果，请执行以下操作：

第 1 步：查看发现结果详情

1. 按照查看发现结果中所述，打开 Malware: Malicious file on disk 发现结果。 系统会打开发现结果详细信息面板，以显示摘要标签页。

2. 在摘要标签页上，查看以下部分中的信息：

   • 检测到的内容，尤其是以下字段：
     • YARA 规则名称：匹配的 YARA 规则。
     • 文件：检测到的可能存在恶意行为的文件的分区 UUID 和相对路径。
   • 受影响的资源，尤其是以下字段：
     • 资源全名：受影响的虚拟机实例的完整资源名称，其中包括该实例所在的项目的 ID。

3. 如需查看此发现结果的完整 JSON，请在发现结果的详情视图中点击 JSON 标签页。

4. 在 JSON 中，请注意以下字段：

   • indicator
     • signatures：
       • yaraRuleSignature：与匹配的 YARA 规则对应的签名。

第 2 步：检查日志

如需查看 Compute Engine 虚拟机实例的日志，请按照以下步骤操作：

1. 在 Google Cloud 控制台中，前往 Logs Explorer。

   前往 Logs Explorer

2. 在 Google Cloud 控制台工具栏中，选择包含发现结果详细信息摘要标签页上资源全名行中指定的虚拟机实例的项目。

3. 查看日志，了解受影响虚拟机实例是否存在入侵迹象。例如，检查是否存在可疑或未知的活动以及凭据被盗用的迹象。

如需了解如何检查 Amazon EC2 虚拟机实例的日志，请参阅 Amazon CloudWatch Logs 文档。

第 3 步：查看权限和设置

1. 在发现结果详细信息摘要标签页的资源全名字段中，点击链接。
2. 查看虚拟机实例的详细信息，包括网络和访问权限设置。

第 4 步：研究攻击和响应方法

点击 VirusTotal 指标中的链接，以检查 VirusTotal 上标记为恶意的二进制文件的 SHA-256 哈希值。VirusTotal 是一项 Alphabet 自有服务，提供了有关潜在恶意文件、网址、网域和 IP 地址的上下文。

第 5 步：实现响应

以下响应方案可能适合此发现结果，但也可能会影响运营。 请仔细评估您在研究中收集的信息，以确定解析发现结果的最佳方法。

1. 联系该虚拟机的所有者。

2. 如有必要，请找到并删除可能存在恶意行为的文件。如需获取文件的分区 UUID 和相对路径，请参阅发现结果详细信息摘要标签页上的文件字段。为了帮助您检测和移除，请使用端点检测和响应解决方案。

3. 如有必要，请停止已被破解的实例并用新实例取代。

   • Compute Engine 虚拟机：请参阅 Compute Engine 文档中的停止或重启 Compute Engine 实例。

   • Amazon EC2 虚拟机：请参阅 AWS 文档中的停止和启动 Amazon EC2 实例。

4. 如需进行取证分析，请考虑备份虚拟机和永久性磁盘。

   • Compute Engine 虚拟机：请参阅 Compute Engine 文档中的数据保护选项。
   • Amazon EC2 虚拟机：请参阅 AWS 文档中的使用快照和 AMI 进行 Amazon EC2 备份和恢复。

5. 如需进一步调查，请考虑使用 Mandiant 等突发事件响应服务。

后续步骤

• 了解如何在 Security Command Center 中处理威胁发现结果。
• 请参阅威胁发现结果索引。
• 了解如何通过 Google Cloud 控制台查看检测结果。
• 了解生成威胁发现结果的服务。