惡意軟體：磁碟上的惡意檔案

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

VM Threat Detection 掃描 Amazon Elastic Compute Cloud (EC2) VM 的永久磁碟，找出已知的惡意軟體簽章，並偵測到可能有害的檔案。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的指示，開啟 Malware: Malicious file on disk 發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，特別是下列欄位：
     • YARA 規則名稱：相符的 YARA 規則。
     • 檔案：偵測到的潛在惡意檔案的分區 UUID 和相對路徑。
   • 受影響的資源，尤其是下列欄位：
     • 資源完整名稱：受影響 VM 執行個體的完整資源名稱，包括所屬專案的 ID。

3. 如要查看這項發現的完整 JSON，請在發現的詳細資料檢視畫面中，按一下「JSON」分頁標籤。

4. 請注意 JSON 中的下列欄位：

   • indicator
     • signatures：
       • yaraRuleSignature：與相符 YARA 規則對應的簽章。

步驟 2：檢查記錄

如要查看 Compute Engine VM 執行個體的記錄，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

   前往記錄檔探索工具

2. 在 Google Cloud 控制台工具列中，選取包含 VM 執行個體的專案，如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所示。

3. 檢查記錄檔，瞭解受影響的 VM 執行個體是否有入侵跡象。舉例來說，請檢查是否有可疑或不明活動，以及遭盜用的憑證。

如要瞭解如何檢查 Amazon EC2 VM 執行個體的記錄，請參閱 Amazon CloudWatch Logs 說明文件。

步驟 3：檢查權限和設定

1. 在調查結果詳細資料的「摘要」分頁中，點選「資源完整名稱」欄位中的連結。
2. 查看 VM 執行個體的詳細資料，包括網路和存取權設定。

步驟 4：研究攻擊和回應方法

在 VirusTotal 上檢查標示為惡意內容的二進位檔 SHA-256 雜湊值，方法是點選「VirusTotal 指標」中的連結。VirusTotal 是 Alphabet 旗下的服務，可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。

步驟 5：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

1. 與 VM 擁有者聯絡。

2. 如有必要，請找出並刪除可能有害的檔案。如要取得檔案的分區 UUID 和相對路徑，請參閱調查結果詳細資料的「摘要」分頁中的「檔案」欄位。如要協助偵測及移除，請使用端點偵測與回應解決方案。

3. 如有必要，請停止遭入侵的執行個體，並換成新的執行個體。

   • Compute Engine VM：請參閱 Compute Engine 說明文件中的「停止或重新啟動 Compute Engine 執行個體」。

   • Amazon EC2 VM：請參閱 AWS 說明文件中的「停止及啟動 Amazon EC2 執行個體」。

4. 如要進行鑑識分析，請考慮備份虛擬機器和永久磁碟。

   • Compute Engine VM：請參閱 Compute Engine 說明文件中的資料保護選項。
   • Amazon EC2 VM：請參閱 AWS 說明文件中的「Amazon EC2 backup and recovery with snapshots and AMIs」。

5. 如要進一步調查，請考慮使用事件應變服務，例如 Mandiant。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。