Exécution : correspondance de hachage pour le minage de cryptomonnaie

Ce document décrit un type de résultat de menace dans Security Command Center. Les résultats de menace sont générés par les détecteurs de menaces lorsqu'ils détectent une menace potentielle dans vos ressources cloud. Pour obtenir la liste complète des résultats de menace disponibles, consultez l'index des résultats de menace.

Présentation

VM Threat Detection a détecté des activités de minage de cryptomonnaie en faisant correspondre les hachages de mémoire des programmes en cours d'exécution avec les hachages de mémoire de logiciels de minage de cryptomonnaie connus.

Comment répondre

Pour répondre à ce résultat, procédez comme suit :

Étape 1 : Examiner les détails du résultat

  1. Ouvrez un résultat Execution: Cryptocurrency Mining Hash Match, comme indiqué dans la section Examiner les résultats. Le panneau d'informations sur le résultat s'ouvre sur l'onglet Résumé.

  2. Dans l'onglet Récapitulatif, examinez les informations des sections suivantes :

    • Risque détecté, en particulier les champs suivants :

      • Famille binaire : application de cryptomonnaie détectée.
      • Binaire du programme : chemin absolu du processus.
      • Arguments : arguments fournis lors de l'appel du binaire du processus.
      • Noms de processus : nom du processus exécuté dans l'instance de VM, associé aux correspondances de signature détectées.

      VM Threat Detection peut reconnaître les compilations du noyau des principales distributions Linux. Si elle peut reconnaître la compilation du noyau de la VM concernée, elle peut identifier les détails du processus de l'application et renseigner le champ processes du résultat. Si VM Threat Detection ne peut pas reconnaître le noyau (par exemple, s'il s'agit d'un noyau personnalisé), le champ processes du résultat n'est pas renseigné.

    • Ressource concernée, en particulier les champs suivants :

      • Nom complet de la ressource : nom complet de la ressource de l'instance de VM concernée, y compris l'ID du projet qui la contient.

  3. Pour afficher le code JSON complet de ce résultat, cliquez sur l'onglet JSON dans la vue détaillée du résultat.

    • indicator
      • signatures :
        • memory_hash_signature : signature correspondant aux hachages de page de mémoire.
        • detections
          • binary : nom du binaire de l'application de cryptomonnaie (par exemple, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0)
          • percent_pages_matched : pourcentage de pages en mémoire correspondant aux pages d'applications de cryptomonnaie connues dans la base de données de hachage des pages.

Étape 2 : Vérifier les journaux

  1. Dans la console Google Cloud , accédez à l'explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Dans la barre d'outils de la console Google Cloud , sélectionnez le projet contenant l'instance de VM, comme indiqué sur la ligne Nom complet de la ressource de l'onglet Récapitulatif des détails du résultat.

  3. Consultez les journaux pour détecter des signes d'intrusion sur l'instance de VM concernée. Par exemple, recherchez les activités suspectes ou inconnues, ainsi que les signes de compromission des identifiants.

Étape 3 : Vérifier les autorisations et les paramètres

  1. Dans l'onglet Résumé des détails du résultat, cliquez sur le lien dans le champ Nom complet de la ressource.
  2. Vérifiez les détails de l'instance de VM, y compris les paramètres réseau et d'accès.

Étape 4 : Rechercher des méthodes d'attaque et de réponse

  1. Examinez les entrées du framework MITRE ATT&CK pour Exécution.
  2. Pour élaborer un plan d'intervention, combinez vos résultats d'enquête avec les recherches MITRE.

Étape 5 : Mettre en œuvre votre réponse

Le plan de réponse suivant peut être adapté à ce résultat, mais peut également avoir une incidence sur les opérations. Évaluez soigneusement les informations que vous collectez dans votre enquête pour déterminer la meilleure façon de solutionner les menaces détectées.

Pour faciliter la détection et la suppression, utilisez une solution de détection et de gestion des points de terminaison.

  1. Contactez le propriétaire de la VM.

  2. Confirmez si l'application est une application de minage :

    • Si le nom du processus et du chemin binaire de l'application détectés sont disponibles, tenez compte des valeurs des lignes Binaire du programme, Arguments et Noms de processus de l'onglet Résumé des détails du résultat dans votre enquête.

    • Si les détails du processus ne sont pas disponibles, vérifiez si le nom binaire de la signature du hachage de la mémoire peut fournir des indices. Prenons l'exemple d'un binaire nommé linux-x86-64_xmrig_2.14.1. Vous pouvez utiliser la commande grep pour rechercher des fichiers importants dans le stockage. Utilisez une partie significative du nom du fichier binaire dans votre modèle de recherche, en l'occurrence xmrig. Examinez les résultats de recherche.

    • Examinez les processus en cours d'exécution, en particulier les processus avec une utilisation intensive du processeur, pour voir s'ils sont inconnus. Déterminez si les applications associées sont des applications de minage.

    • Recherchez dans les fichiers de l'espace de stockage les chaînes courantes utilisées par les applications de minage, telles que btc.com, ethminer, xmrig, cpuminer et randomx. Pour plus d'exemples de chaînes à rechercher, consultez la section Noms des logiciels et règles YARA et la documentation associée pour chaque logiciel répertorié.

  3. Si vous considérez que l'application est une application mineure et que son processus est toujours en cours d'exécution, arrêtez-le. Recherchez le fichier binaire exécutable de l'application dans le stockage de la VM, puis supprimez-le.

  4. Si nécessaire, arrêtez l'instance compromise et remplacez-la par une nouvelle instance.

Étapes suivantes