Malware de Log4j: IP incorrecta

En este documento, se describe un tipo de hallazgo de amenazas en Security Command Center. Los detectores de amenazas generan hallazgos de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los hallazgos de amenazas disponibles, consulta el Índice de hallazgos de amenazas.

Descripción general

El malware se detecta con el examen de los registros del flujo de VPC y de los registros de Cloud DNS para las conexiones a dominios de control y comandos conocidos, y a direcciones IP.

Event Threat Detection es la fuente de este hallazgo.

Cómo responder

Para responder a este hallazgo, sigue los siguientes pasos:

Paso 1: Revisa los detalles del hallazgo

  1. Abre un hallazgo de Log4j Malware: Bad IP como se indica en Revisa los hallazgos. Se abre el panel de detalles del hallazgo en la pestaña Resumen.

  2. En la pestaña Resumen, revisa la información de las siguientes secciones:

    • Qué se detectó, especialmente los siguientes campos:
      • Dominio indicador: Para los hallazgos de Bad domain, es el dominio que activó el hallazgo.
      • IP del indicador: Es la dirección IP que activó el hallazgo.
      • IP de origen: Es una dirección IP de comando y control de malware conocida.
      • Puerto de origen: Es el puerto de origen de la conexión.
      • IP de destino: Es la dirección IP de destino del malware.
      • Puerto de destino: Es el puerto de destino de la conexión.
      • Protocolo: El protocolo de IANA asociado con la conexión.
    • Recurso afectado, en especial, los siguientes campos:
      • Nombre completo del recurso: Es el nombre completo del recurso de la instancia de Compute Engine afectada.
      • Nombre completo del proyecto: Es el nombre completo del recurso del proyecto que contiene el hallazgo.
    • Vínculos relacionados, en especial los siguientes campos:
      • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
      • Método MITRE ATT&CK: Es el vínculo a la documentación de MITRE ATT&CK.
      • Hallazgos relacionados: Son los vínculos a los hallazgos relacionados.
      • Indicador de VirusTotal: Es el vínculo a la página de análisis de VirusTotal.
      • Flow Analyzer: Es el vínculo a la función Flow Analyzer de Network Intelligence Center. Este campo solo se muestra cuando los registros de flujo de VPC están habilitados.

    1. Haz clic en la pestaña JSON y observa el siguiente campo:

      • evidence:
      • sourceLogId:
        • projectID: Es el ID del proyecto en el que se detectó el problema.
      • properties:
      • InstanceDetails: la dirección del recurso de la instancia de Compute Engine.

Paso 2: Revisa los permisos y la configuración

  1. En la consola de Google Cloud , ve a la página Panel.

    Ir al panel

  2. Elegir el proyecto que se especifica en la fila Nombre completo del proyecto de la pestaña Resumen.

  3. Navega a la tarjeta Recursos y haz clic en Compute Engine..

  4. Haz clic en la instancia de VM que coincide con el nombre y la zona en Nombre completo del recurso. Revisa los detalles de la instancia, incluida la configuración de red y acceso.

  5. En el panel de navegación, haz clic en Red de VPC y, luego, en Firewall. Quita o inhabilita las reglas de firewall con demasiados permisos.

Paso 3: Comprueba los registros

  1. En la pestaña Resumen del panel de detalles del hallazgo, haz clic en el vínculo URI de Cloud Logging para abrir el Explorador de registros.

  2. En la página que se carga, busca los registros del flujo de VPC relacionados con la dirección IP en la IP de origen con el siguiente filtro:

    • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

      Reemplaza lo siguiente:

      • PROJECT_ID con la opción para elegir el proyecto que aparece en projectId.
      • SOURCE_IP con la dirección IP que aparece en la fila IP de origen de la pestaña Resumen de los detalles del hallazgo.

Paso 4: Comprueba Flow Analyzer

Debes habilitar los registros de flujo de VPC para realizar el siguiente proceso.

  1. Asegúrate de haber actualizado tu bucket de registros para usar el Análisis de registros. Si deseas obtener instrucciones, consulta Actualiza un bucket para usar el Análisis de registros. La actualización no tiene costo adicional.

  2. En la consola de Google Cloud , ve a la página Flow Analyzer:

    Ir a Flow Analyzer

    También puedes acceder a Flow Analyzer con el vínculo de la URL de Flow Analyzer en la sección Vínculos relacionados de la pestaña Resumen del panel Detalles del hallazgo.

  3. Para investigar más a fondo la información relacionada con el hallazgo de Event Threat Detection, usa el selector de intervalo de tiempo en la barra de acciones para cambiar el período. El período debe reflejar el momento en que se informó el hallazgo por primera vez. Por ejemplo, si el hallazgo se informó en las últimas 2 horas, puedes establecer el período en Últimas 6 horas. Esto garantiza que el período de Flow Analyzer incluya el momento en que se informó el hallazgo.

  4. Filtra Flow Analyzer si quieres que se muestren los resultados adecuados para la dirección IP asociada con el hallazgo de IP maliciosa:

    1. En el menú Filtro de la fila Fuente de la sección Consulta, elige IP.

    2. En el campo Valor, escribe la dirección IP asociada con el hallazgo y haz clic en Ejecutar consulta nueva.

      Si Flow Analyzer no muestra ningún resultado para la dirección IP, borra el filtro de la fila Fuente y vuelve a ejecutar la consulta con el mismo filtro en la fila Destino.

  5. Analiza los resultados. Para obtener información adicional sobre un flujo específico, haz clic en Detalles en la tabla Todos los flujos de datos para abrir el panel Detalles del flujo.

Paso 5: Investiga los métodos de ataque y respuesta

  1. Revisa las entradas del framework de MITRE ATT&CK para este tipo de hallazgo: Resolución dinámica y comando y control.
  2. Haz clic en el vínculo de Hallazgos relacionados en la fila Hallazgos relacionados de la pestaña Resumen de los detalles del hallazgo para revisar los hallazgos relacionados. Los hallazgos relacionados tienen el mismo tipo de resultado, y la misma instancia y red.
  3. Para comprobar las URLs y los dominios marcados en VirusTotal, haz clic en el vínculo en el indicador de VirusTotal. VirusTotal es un servicio que es propiedad de Alphabet y proporciona contexto sobre archivos, URLs, dominios y direcciones IP potencialmente maliciosos.
  4. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 6: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los hallazgos.

  • Comunícate con el propietario del proyecto que contiene malware.
  • Investiga la instancia potencialmente comprometida y quita cualquier malware que se haya descubierto. Para ayudar con la detección y la eliminación, usa una solución de detección y respuesta de extremos.
  • Para hacer un seguimiento de la actividad y las vulnerabilidades que permitieron la inserción de malware, comprueba los registros de auditoría y los registros de sistema asociados con la instancia comprometida.
  • Si es necesario, detén la instancia comprometida y reemplázala por una nueva.

  • Bloquea las direcciones IP maliciosas con las actualizaciones de las reglas de firewall o con Cloud Armor. Según el volumen de datos, los costos de Cloud Armor pueden ser significativos. Consulta la guía de precios de Cloud Armor para obtener más información.

    Para habilitar Cloud Armor en la consola de Google Cloud , ve a la página Servicios integrados.

    Ir a Servicios integrados

  • Para controlar el acceso y el uso de imágenes de VM, usa la política de IAM de VM protegida y de imágenes confiables.

¿Qué sigue?