Malware Log4j: IP Buruk

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dihasilkan oleh detektor ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

Malware terdeteksi dengan memeriksa Log Aliran VPC dan log Cloud DNS untuk koneksi ke domain dan alamat IP perintah dan kontrol yang diketahui.

Event Threat Detection adalah sumber temuan ini.

Cara merespons

Untuk merespons temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Log4j Malware: Bad IP, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Ringkasan, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:
     • Indicator domain: untuk temuan Bad domain, domain yang memicu temuan.
     • Indicator IP: alamat IP yang memicu temuan.
     • Source IP: alamat IP perintah dan kontrol malware yang diketahui.
     • Source port: port sumber koneksi.
     • Destination IP: alamat IP target malware.
     • Destination port: port tujuan koneksi.
     • Protokol: nomor protokol IANA yang terkait dengan koneksi.
   • Affected resource, terutama kolom berikut:
     • Nama lengkap resource: nama lengkap resource instance Compute Engine yang terpengaruh.
     • Nama lengkap project: nama lengkap resource project yang berisi temuan.
   • Related links, terutama kolom berikut:
     • Cloud Logging URI: link ke entri Logging.
     • Metode MITRE ATT&CK: tautan ke dokumentasi MITRE ATT&CK.
     • Temuan terkait: link ke temuan terkait.
     • Indikator VirusTotal: link ke halaman analisis VirusTotal.
     • Flow Analyzer: link ke fitur Flow Analyzer Network Intelligence Center. Kolom ini hanya ditampilkan jika VPC Flow Logs diaktifkan.

   1. Klik tab JSON dan perhatikan kolom berikut:

      • evidence:
      • sourceLogId:
        • projectID: ID project tempat masalah terdeteksi.
      • properties:
      • InstanceDetails: alamat resource untuk instance Compute Engine.

Langkah 2: Tinjau izin dan setelan

1. Di Google Cloud konsol, buka halaman Dasbor.

   Buka Dasbor

2. Pilih project yang ditentukan di baris Project full name di tab Summary.

3. Buka kartu Resources , lalu klik Compute Engine.

4. Klik instance VM yang cocok dengan nama dan zona di Resource full name. Tinjau detail instance, termasuk setelan jaringan dan akses.

5. Di panel navigasi, klik VPC Network, lalu klik Firewall. Hapus atau nonaktifkan aturan firewall yang terlalu permisif.

Langkah 3: Periksa log

1. Di tab Ringkasan panel detail temuan, klik link Cloud Logging URI untuk membuka Logs Explorer.

2. Di halaman yang dimuat, temukan VPC Flow Logs yang terkait dengan alamat IP di Source IP menggunakan filter berikut:

   • logName="projects/projectId/logs/compute.googleapis.com%2Fvpc_flows" AND (jsonPayload.connection.src_ip="SOURCE_IP" OR jsonPayload.connection.dest_ip="destIP")

     Ganti kode berikut:

     • PROJECT_ID dengan memilih project yang tercantum di projectId.
     • SOURCE_IP dengan alamat IP yang tercantum di baris Source IP di tab Ringkasan detail temuan.

Langkah 4: Periksa Flow Analyzer

Anda harus mengaktifkan VPC Flow Logs untuk melakukan proses berikut.

1. Pastikan Anda telah mengupgrade bucket log untuk menggunakan Observability Analytics. Untuk mengetahui petunjuknya, lihat Mengupgrade bucket untuk menggunakan Log Analytics. Tidak ada biaya tambahan untuk mengupgrade.

2. Di Google Cloud konsol, buka halaman Flow Analyzer:

   Buka Flow Analyzer

   Anda juga dapat mengakses Flow Analyzer melalui link Flow Analyzer URL di bagian Link Terkait di tab Ringkasan panel Detail temuan.

3. Untuk menyelidiki lebih lanjut informasi terkait temuan Event Threat Detection, gunakan pemilih rentang waktu di panel tindakan untuk mengubah jangka waktu. Jangka waktu harus mencerminkan kapan temuan pertama kali dilaporkan. Misalnya, jika temuan dilaporkan dalam 2 jam terakhir, Anda dapat menetapkan jangka waktu ke 6 jam terakhir. Hal ini memastikan jangka waktu di Flow Analyzer mencakup waktu saat temuan dilaporkan.

4. Filter Flow Analyzer untuk menampilkan hasil yang sesuai untuk alamat IP yang terkait dengan temuan IP berbahaya:

   1. Dari menu Filter di baris Source bagian Query , pilih IP.

   2. Di kolom Value , masukkan alamat IP yang terkait dengan temuan, lalu klik Run New Query.

      Jika Flow Analyzer tidak menampilkan hasil apa pun untuk alamat IP, hapus filter dari baris Source, lalu jalankan kueri lagi dengan filter yang sama di baris Destination.

5. Analisis hasilnya. Untuk informasi tambahan tentang aliran tertentu, klik Details di tabel All data flows untuk membuka panel Flow details.

Langkah 5: Teliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk jenis temuan ini: Dynamic Resolution and Command and Control.
2. Tinjau temuan terkait dengan mengklik link di Related findings di baris Related findings di tab Summary detail temuan. Temuan terkait adalah jenis temuan yang sama dan instance serta jaringan yang sama.
3. Periksa URL dan domain yang ditandai di VirusTotal dengan mengklik link di VirusTotal indicator. VirusTotal adalah layanan milik Alphabet yang memberikan konteks tentang file, URL, domain, dan alamat IP yang berpotensi berbahaya.
4. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 6: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

• Hubungi pemilik project yang berisi malware.
• Selidiki instance yang berpotensi terganggu dan hapus malware yang ditemukan. Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.
• Untuk melacak aktivitas dan kerentanan yang memungkinkan penyisipan malware, periksa log audit dan syslog yang terkait dengan instance yang terganggu.
• Jika perlu, hentikan instance yang terganggu dan ganti dengan instance baru.

• Blokir alamat IP berbahaya dengan memperbarui aturan firewall atau menggunakan Cloud Armor. Bergantung pada volume data, biaya Cloud Armor dapat signifikan. Lihat panduan harga Cloud Armor untuk mengetahui informasi selengkapnya.

  Untuk mengaktifkan Cloud Armor di Google Cloud konsol, buka halaman Integrated Services.

  Buka Integrated Services

• Untuk mengontrol akses dan penggunaan image VM, gunakan Shielded VM dan Trusted Images kebijakan IAM.

Langkah berikutnya

• Pelajari cara menggunakan temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui Google Cloud konsol.
• Pelajari tentang layanan yang menghasilkan temuan ancaman.