Ausführung: Hash-Abgleich für Kryptowährungs-Mining

In diesem Dokument wird ein Typ von Bedrohungsergebnissen in Security Command Center beschrieben. Bedrohungsergebnisse werden von Bedrohungsdetektoren generiert, wenn sie eine potenzielle Bedrohung in Ihren Cloud-Ressourcen erkennen. Eine vollständige Liste der verfügbaren Bedrohungsergebnisse finden Sie im Index der Bedrohungsergebnisse.

Übersicht

Die VM Threat Detection hat das Mining von Kryptowährungen erkannt. Dazu wurden Speicher-Hashes laufender Programme mit Speicher-Hashes bekannter Kryptowährung-Mining-Software abgeglichen.

So reagieren Sie

Gehen Sie folgendermaßen vor, um auf dieses Ergebnis zu reagieren:

Schritt 1: Ergebnisdetails prüfen

1. Öffnen Sie ein Execution: Cryptocurrency Mining Hash Match-Ergebnis, wie unter Ergebnisse prüfen beschrieben. Der Detailbereich für das Ergebnis wird mit dem Tab Zusammenfassung geöffnet.

2. Sehen Sie sich auf dem Tab Zusammenfassung die Informationen in den folgenden Abschnitten an:

   • Was wurde erkannt?, insbesondere die folgenden Felder:

     • Binärfamilie: die erkannte Kryptowährungs-Anwendung.
     • Programmbinärdatei: der absolute Pfad des Prozesses.
     • Argumente: die Argumente, die beim Aufrufen der Prozessbinärdatei angegeben werden.
     • Prozessnamen: der Name des Prozesses, der in der VM-Instanz ausgeführt wird, die mit den erkannten Signaturübereinstimmungen verknüpft ist.

     VM Threat Detection kann Kernel-Builds aus wichtigen Linux-Distributionen erkennen. Wenn der Kernel-Build der betroffenen VM erkannt wird, lassen sich die Prozessdetails der Anwendung identifizieren und das Feld processes des Ergebnisses ausfüllen. Wenn VM Threat Detection den Kernel nicht neu erkennen kann, z. B. weil der Kernel benutzerdefiniert erstellt wurde, ist das Feld processes des Ergebnisses nicht ausgefüllt.

   • Betroffene Ressource, insbesondere die folgenden Felder:

     • Vollständiger Ressourcenname: Der vollständige Ressourcenname der betroffenen VM-Instanz, einschließlich der ID des Projekts, das sie enthält.

3. Wenn Sie das vollständige JSON für dieses Ergebnis sehen möchten, klicken Sie in der Detailansicht des Ergebnisses auf den Tab JSON.

   • indicator
     • signatures:
       • memory_hash_signature: eine Signatur, die den Hashes der Speicherseiten entspricht.
       • detections
         • binary: der Name der Binärdatei der Kryptowährung-Anwendung, z. B. linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
         • percent_pages_matched: der Prozentsatz an Seiten im Speicher, die mit Seiten in bekannten Kryptowährungs-Anwendungen in der Seiten-Hash-Datenbank übereinstimmen.

Schritt 2: Protokolle prüfen

1. Rufen Sie in der Google Cloud Console den Log-Explorer auf.

   Zum Log-Explorer

2. Wählen Sie in der Symbolleiste der Google Cloud Console das Projekt aus, das die VM-Instanz enthält, wie in der Zeile Vollständiger Ressourcenname auf dem Tab Zusammenfassung der Ergebnisdetails angegeben.

3. Prüfen Sie, ob in den Logs Zeichen für Angriffe auf die betroffene VM-Instanz enthalten sind. Beispielsweise können Sie nach verdächtigen oder unbekannten Aktivitäten und Zeichen von kompromittierten Anmeldedaten suchen.

Schritt 3: Berechtigungen und Einstellungen prüfen

1. Klicken Sie auf dem Tab Zusammenfassung der Ergebnisdetails im Feld Vollständiger Ressourcenname auf den Link.
2. Prüfen Sie die Details der VM-Instanz, einschließlich der Netzwerk- und Zugriffseinstellungen.

Schritt 4: Angriffs- und Reaktionsmethoden untersuchen

1. Prüfen Sie die MITRE-ATT&CK-Framework-Einträge für Ausführung.
2. Wenn Sie einen Antwortplan entwickeln möchten, kombinieren Sie Ihre Prüfungsergebnisse mit der MITRE-Forschung.

Schritt 5: Antwort implementieren

Der folgende Antwortplan ist möglicherweise für dieses Ergebnis geeignet, kann sich jedoch auch auf Vorgänge auswirken. Prüfen Sie die Informationen, die Sie im Rahmen Ihrer Untersuchung erfasst haben, sorgfältig, um die beste Lösung für die Ergebnisse zu ermitteln.

Verwenden Sie eine Lösung zur Endpunkterkennung und -antwort, um Unterstützung bei der Erkennung und Entfernung zu erhalten.

1. Wenden Sie sich an den Inhaber der VM.

2. Prüfen Sie, ob die Anwendung eine Mining-Anwendung ist:

   • Wenn der Prozessname und der binäre Pfad der erkannten Anwendung verfügbar sind, berücksichtigen Sie die Werte in den Zeilen Programmbinärdatei, Argumente und Prozessnamen auf dem Tab Zusammenfassung der Funddetails in Ihrer Untersuchung.

   • Wenn die Prozessdetails nicht verfügbar sind, prüfen Sie, ob der Binärname aus der Speicher-Hash-Signatur Hinweise enthalten kann. Betrachten Sie eine Binärdatei mit dem Namen linux-x86-64_xmrig_2.14.1. Mit dem Befehl grep können Sie nach wichtigen Dateien im Speicher suchen. Verwenden Sie einen aussagekräftigen Teil des Binärnamens in Ihrem Suchmuster, in diesem Fall xmrig. Sehen Sie sich die Suchergebnisse an.

   • Untersuchen Sie die laufenden Prozesse, insbesondere die Prozesse mit hoher CPU-Auslastung, um festzustellen, ob es Prozesse gibt, die Sie nicht erkennen. Bestimmen Sie, ob die zugehörigen Anwendungen Mining-Anwendungen sind.

   • Suchen Sie im Speicher nach gängigen Strings, die von Mining-Anwendungen verwendet werden, z. B. btc.com, ethminer, xmrig, cpuminer und randomx. Weitere Beispiele für Strings, nach denen Sie suchen können, finden Sie unter Softwarenamen und YARA-Regeln und in der zugehörigen Dokumentation für die einzelnen aufgeführten Softwares.

3. Wenn Sie feststellen, dass es sich bei der Anwendung um eine Mining-Anwendung handelt und ihr Prozess noch ausgeführt wird, beenden Sie den Prozess. Suchen Sie die ausführbare Binärdatei der Anwendung im Speicher der VM und löschen Sie sie.

4. Beenden Sie bei Bedarf die manipulierte Instanz und ersetzen Sie sie durch eine neue Instanz.

Nächste Schritte

• Informationen zum Arbeiten mit Bedrohungsbefunden in Security Command Center
• Weitere Informationen finden Sie im Index der Bedrohungsergebnisse.
• Informationen zum Überprüfen von Ergebnissen über die Google Cloud Console
• Dienste, die Bedrohungsbefunde generieren