Malware: arquivo mal-intencionado em disco

Este documento descreve um tipo de descoberta de ameaças no Security Command Center. Essas descobertas são geradas por detectores de ameaças quando detectam um risco nos recursos da nuvem. Para ver uma lista completa, consulte Índice de descobertas de ameaças.

Visão geral

A VM Threat Detection detectou um arquivo potencialmente mal-intencionado ao verificar os discos permanentes de uma VM do Amazon Elastic Compute Cloud (EC2) em busca de assinaturas de malware conhecidas.

Como responder

Para responder a essa descoberta:

Etapa 1: verificar os detalhes da descoberta

  1. Abra a descoberta Malware: Malicious file on disk, conforme instruído em Como verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

  2. Na guia Resumo, confira as informações nas seções abaixo.

    • O que foi detectado, especialmente os seguintes campos:
      • Nome da regra YARA: a regra YARA que foi correspondida.
      • Arquivos: o UUID da partição e o caminho relativo do arquivo potencialmente mal-intencionado detectado.
    • Recurso afetado, especialmente os seguintes campos:
      • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que o contém

  3. Para ver o JSON completo dessa descoberta, clique na guia JSON na visualização detalhada.

  4. No JSON, observe os seguintes campos:

    • indicator
      • signatures:
        • yaraRuleSignature: uma assinatura correspondente à regra YARA que foi correspondida.

Etapa 2: verificar os registros

Para verificar os registros de uma instância de VM do Compute Engine, siga estas etapas:

  1. No console do Google Cloud , acesse a Análise de registros.

    Acessar a Análise de registros

  2. Na barra de ferramentas do console do Google Cloud , selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso na guia Resumo dos detalhes de descoberta.

  3. Verifique nos registros se há sinais de invasão na instância da VM afetada. Por exemplo, verifique se há atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Para informações sobre a verificação dos registros de uma instância de VM do Amazon EC2, consulte a documentação do Amazon CloudWatch Logs.

Etapa 3: verificar permissões e configurações

  1. Na guia Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
  2. Revise os detalhes da instância de VM, incluindo as configurações de rede e acesso.

Etapa 4: pesquisar métodos de ataque e resposta

Verifique o valor de hash SHA-256 do binário sinalizado como mal-intencionado no VirusTotal clicando no link no indicador do VirusTotal. O VirusTotal é um serviço pertencente à Alphabet que fornece contexto sobre arquivos, URLs, domínios e endereços IP potencialmente mal-intencionados.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

  1. Entre em contato com o proprietário da VM.

  2. Se necessário, localize e exclua o arquivo potencialmente mal-intencionado. Para acessar o UUID da partição e o caminho relativo do arquivo, consulte o campo Arquivos na guia Resumo dos detalhes da descoberta. Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.

  3. Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.

  4. Para análise forense, faça backup das máquinas virtuais e dos discos permanentes.

  5. Para mais investigações, use serviços de resposta a incidentes, como a Mandiant.

A seguir