Malware: Schädliche Kryptomining-IP-Adresse

In diesem Dokument wird ein bestimmter Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Malware wird durch Untersuchung der VPC-Flusslogs und Cloud DNS-Logs auf Verbindungen zu bekannten Befehls- und Kontrolldomains und IP-Adressen erkannt.

Die Quelle dieses Ergebnisses ist Event Threat Detection.

Maßnahmen

So reagieren Sie auf dieses Ergebnis:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Malware: Cryptomining Bad IP-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird geöffnet und der Tab Zusammenfassung wird angezeigt.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was erkannt wurde, insbesondere die folgenden Felder:
     • Quell-IP: die vermutete IP-Adresse für Kryptomining.
     • Quellport: Der Quellport der Verbindung, falls verfügbar.
     • Ziel-IP: die Ziel-IP-Adresse.
     • Zielport: Der Zielport der Verbindung, sofern verfügbar.
     • Protokoll: Das IANA-Protokoll, das der Verbindung zugeordnet ist.
   • Betroffene Ressource
   • Weitere Informationen, einschließlich der folgenden Felder:
     • Logging-URI: Link zu Logging-Einträgen.
     • MITRE-ATT&CK-Methode: Link zur MITRE-ATT&CK-Dokumentation.
     • Ähnliche Ergebnisse: Links zu ähnlichen Ergebnissen.
     • Flow Analyzer: Link zur Flow Analyzer-Funktion von Network Intelligence Center. Dieses Feld wird nur angezeigt, wenn VPC-Flusslogs aktiviert sind.

3. Klicken Sie in der Detailansicht des Ergebnisses auf den Tab Quellattribute.

4. Maximieren Sie properties und notieren Sie die Projekt- und Instanzwerte im folgenden Feld:

   • instanceDetails: Notieren Sie sich sowohl die Projekt-ID als auch den Namen der Compute Engine-Instanz. Die Projekt-ID und der Instanzname werden wie im folgenden Beispiel angezeigt:

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Klicken Sie auf den Tab JSON, um das vollständige JSON für das Ergebnis aufzurufen.

Schritt 2: Berechtigungen und Einstellungen prüfen

1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

   Zum Dashboard

2. Wählen Sie das Projekt aus, das in properties_project_id angegeben ist.

3. Rufen Sie die Karte Ressourcen auf und klicken Sie auf Compute Engine.

4. Klicken Sie auf die VM-Instanz, die mit properties_sourceInstance übereinstimmt. Untersuchen Sie die potenziell manipulierte Instanz auf Malware.

5. Klicken Sie im Navigationsbereich auf VPC-Netzwerk und dann auf Firewall. Firewallregeln mit zu vielen Berechtigungen entfernen oder deaktivieren

Schritt 3: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

   Zum Log-Explorer

2. Wählen Sie in der Symbolleiste der Google Cloud Console Ihr Projekt aus.

3. Suchen Sie auf der Seite, die geladen wird, mit dem folgenden Filter nach VPC-Flusslogs für Properties_ip_0:

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für diesen Ergebnistyp: Ressourcendiebstahl.
2. Um einen Antwortplan zu entwickeln, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Studie.

Schritt 5: Antwort implementieren

Der folgende Reaktionplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Abläufe auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Behebung der Ergebnisse zu finden.

• Wenden Sie sich an den Inhaber des Projekts, das Malware enthält.
• Untersuchen Sie die potenziell manipulierte Instanz und entfernen Sie erkannte Malware. Verwenden Sie eine Lösung zur Endpunkterkennung und -antwort, um Unterstützung bei der Erkennung und Entfernung zu erhalten.
• Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.

• Blockieren Sie die schädlichen IP-Adressen, indem Sie Firewallregeln aktualisieren oder Cloud Armor verwenden. Abhängig vom Datenvolumen können die Cloud Armor-Kosten beträchtlich sein. Weitere Informationen finden Sie in der Preisübersicht für Cloud Armor.

  Wenn Sie Cloud Armor in der Google Cloud Console aktivieren möchten, rufen Sie die Seite Integrierte Dienste auf.

  Zu "Integrierte Dienste"

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsergebnissen in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsergebnisse generieren