Logiciel malveillant : adresse IP malveillante minant de la cryptomonnaie

Ce document décrit un type de résultat de détection de menace dans Security Command Center. Ces résultats sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de détection de menace disponibles, consultez cet index.

Présentation

La présence de logiciels malveillants est détectée en examinant les journaux de flux VPC et les journaux Cloud DNS pour détecter les connexions à des domaines de contrôle et de commande connus ainsi qu'à des adresses IP connues.

Event Threat Detection est la source de ce résultat.

Actions à mettre en place

Pour traiter ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

1. Ouvrez un résultat Malware: Cryptomining Bad IP, comme indiqué dans la section Examiner les résultats. Le panneau des détails du résultat s'ouvre dans l'onglet Résumé.

2. Dans l'onglet Résumé, examinez les informations des sections suivantes :

   • Risque détecté, en particulier les champs suivants :
     • Adresse IP source : adresse IP de minage de cryptomonnaie suspectée.
     • Port source : port source de la connexion, le cas échéant.
     • Adresse IP de destination : adresse IP cible.
     • Port de destination : port de destination de la connexion, le cas échéant.
     • Protocole : protocole IANA associé à la connexion.
   • Ressource concernée
   • Liens associés, y compris les champs suivants :
     • URI Logging : lien vers les entrées Logging.
     • Méthode MITRE ATT&CK : lien vers la documentation MITRE ATT&CK.
     • Résultats associés : liens vers les éventuels résultats associés.
     • Flow Analyzer : lien vers la fonctionnalité Flow Analyzer de Network Intelligence Center. Ce champ ne s'affiche que lorsque les journaux de flux VPC sont activés.

3. Dans la vue détaillée du résultat, cliquez sur l'onglet Propriétés sources.

4. Développez properties et notez les valeurs du projet et de l'instance dans le champ suivant :

   • instanceDetails : notez l'ID du projet et le nom de l'instance Compute Engine. L'ID du projet et le nom de l'instance s'affichent comme dans l'exemple suivant :

     /projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME

5. Pour afficher le code JSON complet du résultat, cliquez sur l'onglet JSON.

Étape 2 : Vérifier les autorisations et les paramètres

1. Dans la console Google Cloud , accédez à la page Tableau de bord.

   Accéder au tableau de bord

2. Sélectionnez le projet spécifié dans properties_project_id.

3. Accédez à la fiche Ressources, puis cliquez sur Compute Engine.

4. Cliquez sur l'instance de VM correspondant à properties_sourceInstance. Examinez l'instance potentiellement compromise à la recherche de logiciels malveillants.

5. Dans le panneau de navigation, cliquez sur Réseau VPC, puis sur Pare-feu. Supprimez ou désactivez les règles de pare-feu trop permissives.

Étape 3 : Vérifier les journaux

1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

   Accéder à l'explorateur de journaux

2. Dans la barre d'outils de la console Google Cloud , sélectionnez votre projet.

3. Sur la page qui s'affiche, recherchez les journaux de flux VPC liés à Properties_ip_0 à l'aide du filtre suivant :

   • logName="projects/properties_project_id/logs/compute.googleapis.com%2Fvpc_flows"
   • (jsonPayload.connection.src_ip="Properties_ip_0" OR jsonPayload.connection.dest_ip="Properties_ip_0")

Étape 4 : Rechercher des méthodes d'attaque et de réponse

1. Examinez les entrées du framework MITRE ATT&CK pour ce type de résultat : Détournement de ressources.
2. Pour élaborer un plan de réponse, combinez les résultats de vos enquêtes avec la recherche MITRE.

Étape 5 : Mettez en œuvre votre plan de réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais il peut également avoir un impact sur vos opérations. Veillez à bien évaluer les informations que vous collectez dans votre enquête pour déterminer quelle est la meilleure réponse à apporter aux problèmes soulevés par les résultats.

• Contactez le propriétaire du projet contenant le ou les logiciels malveillants.
• Examinez l'instance potentiellement compromise et supprimez tous les logiciels malveillants détectés. Pour faciliter la détection et la suppression, utilisez une solution de détection et de gestion des points de terminaison.
• Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.

• Bloquez les adresses IP malveillantes en mettant à jour les règles de pare-feu ou à l'aide de Cloud Armor. Selon le volume de données concerné, les coûts associés à Cloud Armor peuvent être importants. Pour en savoir plus, consultez le guide des tarifs de Cloud Armor.

  Pour activer Cloud Armor dans la console Google Cloud , accédez à la page Services intégrés.

  Accéder à la page "Services intégrés"

Étapes suivantes

• Découvrez comment travailler avec les résultats de détection de menace dans Security Command Center.
• Consultez l'index des résultats de détection de menace.
• Découvrez comment examiner un résultat dans la console Google Cloud .
• Apprenez-en plus sur les services qui génèrent des résultats de détection de menace.