Software malicioso: ficheiro malicioso no disco

Este documento descreve um tipo de deteção de ameaças no Security Command Center. As conclusões de ameaças são geradas por detetores de ameaças quando detetam uma potencial ameaça nos seus recursos da nuvem. Para ver uma lista completa das conclusões de ameaças disponíveis, consulte o Índice de conclusões de ameaças.

Vista geral

A Deteção de ameaças de VMs detetou um ficheiro potencialmente malicioso ao analisar os discos persistentes de uma VM do Amazon Elastic Compute Cloud (EC2) à procura de assinaturas de software malicioso conhecidas.

Como responder

Para responder a esta descoberta, faça o seguinte:

Passo 1: reveja os detalhes da descoberta

  1. Abra a deteção Malware: Malicious file on disk, conforme indicado em Reveja as deteções. O painel de detalhes da deteção é aberto no separador Resumo.

  2. No separador Resumo, reveja as informações nas seguintes secções:

    • O que foi detetado, especialmente os seguintes campos:
      • Nome da regra YARA: a regra YARA que correspondeu.
      • Ficheiros: o UUID da partição e o caminho relativo do ficheiro potencialmente malicioso que foi detetado.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que a contém.

  3. Para ver o JSON completo desta descoberta, na vista de detalhes da descoberta, clique no separador JSON.

  4. No JSON, tenha em atenção os seguintes campos:

    • indicator
      • signatures:
        • yaraRuleSignature: uma assinatura correspondente à regra YARA que foi correspondida.

Passo 2: verifique os registos

Para verificar os registos de uma instância de VM do Compute Engine, siga estes passos:

  1. Na Google Cloud consola, aceda ao Explorador de registos.

    Aceda ao Explorador de registos

  2. Na Google Cloud barra de ferramentas da consola, selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso no separador Resumo dos detalhes da deteção.

  3. Verifique os registos para ver se existem sinais de intrusão na instância de VM afetada. Por exemplo, verifique se existem atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Para obter informações sobre como verificar os registos de uma instância de VM do Amazon EC2, consulte a documentação dos registos do Amazon CloudWatch.

Passo 3: reveja as autorizações e as definições

  1. No separador Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
  2. Reveja os detalhes da instância de VM, incluindo as definições de rede e de acesso.

Passo 4: pesquise métodos de ataque e resposta

Verifique o valor hash SHA-256 do ficheiro binário denunciado como malicioso no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre ficheiros, URLs, domínios e endereços IP potencialmente maliciosos.

Passo 5: implemente a sua resposta

O seguinte plano de resposta pode ser adequado para esta descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações recolhidas na sua investigação para determinar a melhor forma de resolver as conclusões.

  1. Contacte o proprietário da VM.

  2. Se necessário, localize e elimine o ficheiro potencialmente malicioso. Para obter o UUID da partição e o caminho relativo do ficheiro, consulte o campo Files (Ficheiros) no separador Summary (Resumo) dos detalhes da deteção. Para ajudar na deteção e remoção, use uma solução de deteção e resposta de pontos finais.

  3. Se necessário, pare a instância comprometida e substitua-a por uma nova instância.

  4. Para análise forense, considere fazer uma cópia de segurança das máquinas virtuais e dos discos persistentes.

  5. Para uma investigação mais aprofundada, considere usar serviços de resposta a incidentes, como o Mandiant.

O que se segue?