実行: 暗号通貨マイニングのハッシュの照合

このドキュメントでは、Security Command Center の脅威の検出結果のタイプについて説明します。脅威の検出結果は、クラウド リソースで潜在的な脅威が検出されたときに、脅威検出機能によって生成されます。使用可能な脅威の検出結果の一覧については、脅威の検出結果のインデックスをご覧ください。

概要

VM Threat Detection は、既知の暗号通貨マイニング ソフトウェアのメモリハッシュと実行中のプログラムのメモリハッシュを照合することにより、暗号通貨マイニング アクティビティを検出しました。

対処方法

この検出結果に対応する手順は次のとおりです。

ステップ 1: 検出結果の詳細を確認する

1. 検出結果の確認の説明に従って、Execution: Cryptocurrency Mining Hash Match の検出結果を開きます。検出結果の詳細パネルが開き、[概要] タブが表示されます。

2. [概要] タブで、次のセクションの情報を確認します。

   • 検出された内容（特に次のフィールド）:

     • バイナリ ファミリー: 検出された暗号通貨アプリケーション。
     • プログラム バイナリ: プロセスの絶対パス。
     • 引数: プロセス バイナリを呼び出すときに指定する引数。
     • プロセス名: VM インスタンスで実行され、シグネチャとの一致が検出されたプロセスの名前。

     VM Threat Detection は、主要な Linux ディストリビューションのカーネルビルドを認識できます。影響を受ける VM のカーネルビルドを認識できると、アプリケーションのプロセス詳細を特定し、検出結果の processes フィールドに値を挿入します。VM Threat Detection がカーネルを認識できない場合（カーネルがカスタムビルドされている場合など）、検出結果の processes フィールドに値は挿入されません。

   • 影響を受けているリソース（特に次のフィールド）:

     • リソースの完全な名前: 影響を受ける VM インスタンスの完全なリソース名。この VM を含むプロジェクトの ID が含まれます。

3. この検出結果の完全な JSON を表示するには、検出結果の詳細ビューで [JSON] タブをクリックします。

   • indicator
     • signatures:
       • memory_hash_signature: メモリページのハッシュに対応するシグネチャ。
       • detections
         • binary: 暗号通貨アプリケーションのバイナリの名前（例: linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0）。
         • percent_pages_matched: メモリ内で、ページハッシュ データベースの既知の暗号通貨アプリケーションと一致するページの割合。

ステップ 2: ログを確認する

1. Google Cloud コンソールで、[ログ エクスプローラ] に移動します。

   [ログ エクスプローラ] に移動

2. Google Cloud コンソールのツールバーで、検出結果の詳細の [概要] タブにある [リソースの完全な名前] 行の VM インスタンスを含むプロジェクトを選択します。

3. ログで、該当する VM インスタンスの侵入の兆候を確認します。たとえば、不審なアクティビティや不明なアクティビティ、不正使用された認証情報の兆候を探します。

ステップ 3: 権限と設定を確認する

1. 検出結果の詳細の [概要] タブの [リソースの完全な名前] フィールドで、リンクをクリックします。
2. ネットワークやアクセスの設定など、VM インスタンスの詳細を確認します。

ステップ 4: 攻撃とレスポンスの手法を調査する

1. 実行の MITRE ATT&CK フレームワーク エントリを確認します。
2. 対応計画を策定するには、独自の調査結果と MITRE の調査を組み合わせる必要があります。

ステップ 5: レスポンスを実装する

次の対応計画は、この検出結果に適切な場合もありますが、運用に影響する可能性もあります。調査で収集した情報を慎重に評価して、検出結果を解決する最適な方法を判断してください。

検出と削除をサポートするには、エンドポイントの検出と対応ソリューションを使用します。

1. VM のオーナーに連絡します。

2. アプリケーションがマイニング アプリケーションかどうかを確認します。

   • 検出されたアプリケーションのプロセス名とバイナリパスが使用可能な場合は、調査の検出結果の詳細で [概要] タブの [プログラム バイナリ]、[引数]、[プロセス名] の各行の値を検討します。

   • プロセスの詳細を取得できない場合は、メモリハッシュ シグネチャのバイナリ名が手がかりになるかどうか確認します。linux-x86-64_xmrig_2.14.1 というバイナリについて考えてみましょう。grep コマンドを使用すると、ストレージ内の重要なファイルを検索できます。検索パターンで、バイナリ名のわかりやすい部分（この場合は xmrig）を使用します。検索結果を確認します。

   • 実行中のプロセス、特に CPU 使用率の高いプロセスを調べて、不明なプロセスがないか確認します。関連付けられているアプリケーションがマイニング アプリケーションかどうかを確認します。

   • ストレージでファイルを検索して、マイニング アプリケーションで使用される一般的な文字列（btc.com、ethminer、xmrig、cpuminer、randomx など）を探します。検索できる文字列のその他の例については、ソフトウェア名と YARA ルールと、リストにある各ソフトウェアに関連するドキュメントをご覧ください。

3. アプリケーションがマイニング アプリケーションであり、そのプロセスが実行されている場合は、プロセスを終了します。VM のストレージでアプリケーションの実行バイナリを見つけ、削除します。

4. 必要に応じて、不正使用されたインスタンスを停止し、新しいインスタンスに置き換えます。

次のステップ

• Security Command Center で脅威の検出結果を操作する方法を学習する。
• 脅威の検出結果のインデックスを確認する。
• Google Cloud コンソールで検出結果を確認する方法を学習する。
• 脅威の検出結果を生成するサービスについて学習する。