Eksekusi: Pencocokan Hash Penambangan Mata Uang Kripto

Dokumen ini menjelaskan jenis temuan ancaman di Security Command Center. Temuan ancaman dibuat oleh pendeteksi ancaman saat mendeteksi potensi ancaman di resource cloud Anda. Untuk daftar lengkap temuan ancaman yang tersedia, lihat Indeks temuan ancaman.

Ringkasan

VM Threat Detection mendeteksi aktivitas penambangan mata uang kripto dengan mencocokkan hash memori program yang sedang berjalan dengan hash memori software penambangan mata uang kripto yang diketahui.

Cara merespons

Untuk menanggapi temuan ini, lakukan hal berikut:

Langkah 1: Tinjau detail temuan

1. Buka temuan Execution: Cryptocurrency Mining Hash Match, seperti yang diarahkan dalam Meninjau temuan. Panel detail untuk temuan akan terbuka di tab Ringkasan.

2. Di tab Summary, tinjau informasi di bagian berikut:

   • Apa yang terdeteksi, terutama kolom berikut:

     • Kelompok biner: aplikasi mata uang kripto yang terdeteksi.
     • Biner program: jalur absolut proses.
     • Argumen: argumen yang diberikan saat memanggil biner proses.
     • Nama proses: nama proses yang berjalan di instance VM yang terkait dengan kecocokan tanda tangan yang terdeteksi.

     Deteksi Ancaman VM dapat mengenali build kernel dari distribusi Linux utama. Jika dapat mengenali build kernel VM yang terpengaruh, alat ini dapat mengidentifikasi detail proses aplikasi dan mengisi kolom processes temuan. Jika Deteksi Ancaman VM tidak dapat mengenali kernel—misalnya, jika kernel dibuat kustom—kolom processes temuan tidak akan diisi.

   • Resource yang terpengaruh, terutama kolom berikut:

     • Nama lengkap resource: nama lengkap resource instance VM yang terpengaruh, termasuk ID project yang memuatnya.

3. Untuk melihat JSON lengkap temuan ini, di tampilan detail temuan, klik tab JSON.

   • indicator
     • signatures:
       • memory_hash_signature: tanda tangan yang sesuai dengan hash halaman memori.
       • detections
         • binary: nama biner aplikasi mata uang kripto—misalnya, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
         • percent_pages_matched: persentase halaman dalam memori yang cocok dengan halaman dalam aplikasi mata uang kripto yang diketahui di database hash halaman.

Langkah 2: Periksa log

1. Di konsol Google Cloud , buka Logs Explorer.

   Buka Logs Explorer

2. Di toolbar konsol Google Cloud , pilih project yang berisi instance VM, seperti yang ditentukan di baris Nama lengkap resource di tab Ringkasan pada detail temuan.

3. Periksa log untuk melihat tanda-tanda penyusupan pada instance VM yang terpengaruh. Misalnya, periksa aktivitas yang mencurigakan atau tidak dikenal dan tanda-tanda kredensial yang disusupi.

Langkah 3: Tinjau izin dan setelan

1. Di tab Ringkasan pada detail temuan, di kolom Nama lengkap resource, klik link.
2. Tinjau detail instance VM, termasuk setelan jaringan dan akses.

Langkah 4: Meneliti metode serangan dan respons

1. Tinjau entri framework MITRE ATT&CK untuk Eksekusi.
2. Untuk mengembangkan rencana respons, gabungkan hasil penyelidikan Anda dengan riset MITRE.

Langkah 5: Terapkan respons Anda

Rencana respons berikut mungkin sesuai untuk temuan ini, tetapi juga dapat memengaruhi operasi. Evaluasi dengan cermat informasi yang Anda kumpulkan dalam penyelidikan untuk menentukan cara terbaik dalam menyelesaikan temuan.

Untuk membantu deteksi dan penghapusan, gunakan solusi deteksi dan respons endpoint.

1. Hubungi pemilik VM.

2. Konfirmasi apakah aplikasi adalah aplikasi penambangan:

   • Jika nama proses dan jalur biner aplikasi yang terdeteksi tersedia, pertimbangkan nilai pada baris Program biner, Argumen, dan Nama proses di tab Ringkasan detail temuan dalam penyelidikan Anda.

   • Jika detail proses tidak tersedia, periksa apakah nama biner dari tanda tangan hash memori dapat memberikan petunjuk. Pertimbangkan biner yang disebut linux-x86-64_xmrig_2.14.1. Anda dapat menggunakan perintah grep untuk menelusuri file penting dalam penyimpanan. Gunakan bagian yang bermakna dari nama biner dalam pola penelusuran Anda, dalam hal ini, xmrig. Periksa hasil penelusuran.

   • Periksa proses yang sedang berjalan, terutama proses dengan penggunaan CPU yang tinggi, untuk melihat apakah ada proses yang tidak Anda kenali. Menentukan apakah aplikasi terkait adalah aplikasi penambang.

   • Cari file di penyimpanan untuk menemukan string umum yang digunakan aplikasi penambangan, seperti btc.com, ethminer, xmrig, cpuminer, dan randomx. Untuk contoh string lainnya yang dapat Anda telusuri, lihat Nama software dan aturan YARA dan dokumentasi terkait untuk setiap software yang tercantum.

3. Jika Anda menentukan bahwa aplikasi tersebut adalah aplikasi penambang, dan prosesnya masih berjalan, hentikan prosesnya. Temukan biner yang dapat dieksekusi aplikasi di penyimpanan VM, lalu hapus.

4. Jika perlu, hentikan instance yang terganggu dan ganti dengan instance baru.

Langkah berikutnya

• Pelajari cara menangani temuan ancaman di Security Command Center.
• Lihat Indeks temuan ancaman.
• Pelajari cara meninjau temuan melalui konsol Google Cloud .
• Pelajari layanan yang menghasilkan temuan ancaman.