Esta página se ha traducido con Cloud Translation API.

Ejecución: coincidencia de hash de minería de criptomonedas

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

VM Threat Detection ha detectado actividades de minería de criptomonedas al comparar los hashes de memoria de los programas en ejecución con los hashes de memoria de software de minería de criptomonedas conocido.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

Abre un Execution: Cryptocurrency Mining Hash Match resultado, tal como se indica en Revisar resultados. Se abre el panel de detalles del resultado en la pestaña Resumen.
En la pestaña Resumen, consulte la información de las siguientes secciones:
- Qué se detectó, especialmente los siguientes campos:
  - Familia binaria: la aplicación de criptomoneda que se ha detectado.
  - Binario del programa: la ruta absoluta del proceso.
  - Argumentos: los argumentos proporcionados al invocar el archivo binario del proceso.
  - Nombres de los procesos: el nombre del proceso que se ejecuta en la instancia de VM asociada a las coincidencias de firmas detectadas.
  VM Threat Detection puede reconocer compilaciones de kernel de las principales distribuciones de Linux. Si puede reconocer la compilación del kernel de la VM afectada, puede identificar los detalles del proceso de la aplicación y rellenar el campo processes del hallazgo. Si Detección de amenazas de VM no puede reconocer el kernel (por ejemplo, si el kernel es personalizado), el campo processes del hallazgo no se rellena.
- Recurso afectado, especialmente los siguientes campos:
  - Nombre completo del recurso: el nombre completo del recurso de la instancia de VM afectada, incluido el ID del proyecto que la contiene.
Para ver el JSON completo de este resultado, en la vista de detalles del resultado, haga clic en la pestaña JSON.
- indicator
  - signatures:
    - memory_hash_signature: una firma correspondiente a los hashes de la página de memoria.
    - detections
      - binary: el nombre del archivo binario de la aplicación de criptomoneda (por ejemplo, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0).
      - percent_pages_matched: porcentaje de páginas en memoria que coinciden con páginas de aplicaciones de criptomonedas conocidas en la base de datos de hashes de páginas.

Paso 2: Consulta los registros

En la Google Cloud consola, ve a Explorador de registros.

Ir a Explorador de registros
En la Google Cloud barra de herramientas de la consola, selecciona el proyecto que contiene la instancia de VM, tal como se especifica en la fila Nombre completo del recurso de la pestaña Resumen de los detalles de la detección.
Consulta los registros para detectar signos de intrusión en la instancia de VM afectada. Por ejemplo, comprueba si hay actividades sospechosas o desconocidas y si hay indicios de que se han vulnerado las credenciales.

Paso 3: Revisa los permisos y la configuración

En la pestaña Resumen de los detalles de la detección, haga clic en el enlace del campo Nombre completo del recurso.
Revisa los detalles de la instancia de VM, incluidos los ajustes de red y acceso.

Paso 4: Investiga los métodos de ataque y respuesta

Revisa las entradas del framework ATT&CK de MITRE para Ejecución.
Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.

Ponte en contacto con el propietario de la máquina virtual.
Confirma si la aplicación es una aplicación de minería:
- Si están disponibles el nombre del proceso y la ruta binaria de la aplicación detectada, consulta los valores de las filas Binario del programa, Argumentos y Nombres de proceso de la pestaña Resumen de los detalles de la detección en tu investigación.
- Si los detalles del proceso no están disponibles, comprueba si el nombre binario de la firma hash de la memoria puede proporcionar información. Supongamos que tienes un archivo binario llamado linux-x86-64_xmrig_2.14.1. Puedes usar el comando grep para buscar archivos destacados en el almacenamiento. Usa una parte significativa del nombre binario en tu patrón de búsqueda. En este caso, xmrig. Examina los resultados de búsqueda.
- Examina los procesos en ejecución, sobre todo los que tienen un uso elevado de la CPU, para ver si hay alguno que no reconozcas. Determina si las aplicaciones asociadas son aplicaciones de minería.
- Busca en los archivos del almacenamiento cadenas comunes que usen las aplicaciones de minería, como btc.com, ethminer, xmrig, cpuminer y randomx. Para ver más ejemplos de cadenas que puedes buscar, consulta Nombres de software y reglas YARA y la documentación relacionada de cada software.
Si determinas que la aplicación es una aplicación de minería y su proceso sigue en ejecución, finaliza el proceso. Busca el archivo ejecutable de la aplicación en el almacenamiento de la VM y elimínalo.
Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva.

Siguientes pasos

Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
Consulta el índice de hallazgos de amenazas.
Consulta cómo revisar un resultado a través de la consola Google Cloud .
Consulta información sobre los servicios que generan detecciones de amenazas.