Esecuzione: corrispondenza dell'hash del mining di criptovalute

Questo documento descrive un tipo di risultato di minaccia in Security Command Center. I risultati delle minacce vengono generati dai rilevatori di minacce quando rilevano una potenziale minaccia nelle tue risorse cloud. Per un elenco completo dei risultati relativi alle minacce disponibili, consulta l'Indice dei risultati relativi alle minacce.

Panoramica

VM Threat Detection ha rilevato attività di mining di criptovalute confrontando gli hash della memoria dei programmi in esecuzione con gli hash della memoria di software di mining di criptovalute noti.

Come rispondere

Per rispondere a questo risultato:

Passaggio 1: esamina i dettagli del risultato

1. Apri un risultato Execution: Cryptocurrency Mining Hash Match come indicato in Esamina i risultati. Il riquadro dei dettagli del risultato si apre nella scheda Riepilogo.

2. Nella scheda Riepilogo, esamina le informazioni nelle seguenti sezioni:

   • Che cosa è stato rilevato, in particolare i seguenti campi:

     • Famiglia binaria: l'applicazione di criptovalute rilevata.
     • Programma binario: il percorso assoluto del processo.
     • Argomenti: gli argomenti forniti durante la chiamata del binario del processo.
     • Nomi dei processi: il nome del processo in esecuzione nell'istanza VM associata alle corrispondenze delle firme rilevate.

     VM Threat Detection è in grado di riconoscere le build del kernel delle principali distribuzioni Linux. Se riesce a riconoscere la build del kernel della VM interessata, può identificare i dettagli del processo dell'applicazione e compilare il campo processes del risultato. Se il rilevamento delle minacce per le VM non riesce a riconoscere il kernel, ad esempio se il kernel è creato su misura, il campo processes del risultato non viene compilato.

   • Risorsa interessata, in particolare i seguenti campi:

     • Nome completo della risorsa: il nome completo della risorsa dell'istanza VM interessata, incluso l'ID del progetto che la contiene.

3. Per visualizzare il JSON completo di questo risultato, fai clic sulla scheda JSON nella visualizzazione dettagliata del risultato.

   • indicator
     • signatures:
       • memory_hash_signature: una firma corrispondente agli hash delle pagine della memoria.
       • detections
         • binary: il nome del file binario dell'applicazione di criptovalute, ad esempio linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
         • percent_pages_matched: la percentuale di pagine in memoria che corrispondono alle pagine di applicazioni di criptovalute note nel database degli hash delle pagine.

Passaggio 2: controlla i log

1. Nella console Google Cloud , vai a Esplora log.

   Vai a Esplora log

2. Nella barra degli strumenti della console Google Cloud , seleziona il progetto che contiene l'istanza VM, come specificato nella riga Nome completo risorsa della scheda Riepilogo dei dettagli del problema.

3. Controlla i log per rilevare segni di intrusione nell'istanza VM interessata. Ad esempio, controlla la presenza di attività sospette o sconosciute e segni di credenziali compromesse.

Passaggio 3: esamina le autorizzazioni e le impostazioni

1. Nella scheda Riepilogo dei dettagli del risultato, fai clic sul link nel campo Nome completo della risorsa.
2. Esamina i dettagli dell'istanza VM, incluse le impostazioni di rete e accesso.

Passaggio 4: ricerca di metodi di attacco e risposta

1. Esamina le voci del framework MITRE ATT&CK per Esecuzione.
2. Per sviluppare un piano di risposta, combina i risultati dell'indagine con la ricerca MITRE.

Passaggio 5: implementa la risposta

Il seguente piano di risposta potrebbe essere appropriato per questo risultato, ma potrebbe anche influire sulle operazioni. Valuta attentamente le informazioni raccolte durante l'indagine per determinare il modo migliore per risolvere i risultati.

Per facilitare il rilevamento e la rimozione, utilizza una soluzione di rilevamento e risposta degli endpoint.

1. Contatta il proprietario della VM.

2. Verifica se l'applicazione è un'applicazione di mining:

   • Se sono disponibili il nome del processo e il percorso binario dell'applicazione rilevata, considera i valori delle righe Binario programma, Argomenti e Nomi processi nella scheda Riepilogo dei dettagli del risultato durante l'indagine.

   • Se i dettagli del processo non sono disponibili, controlla se il nome del file binario della firma hash della memoria può fornire indizi. Prendi in considerazione un file binario denominato linux-x86-64_xmrig_2.14.1. Puoi utilizzare il comando grep per cercare file importanti nello spazio di archiviazione. Utilizza una parte significativa del nome del file binario nel pattern di ricerca, in questo caso xmrig. Esamina i risultati di ricerca.

   • Esamina i processi in esecuzione, in particolare quelli con un utilizzo elevato della CPU, per verificare se ce ne sono alcuni che non riconosci. Determina se le applicazioni associate sono applicazioni di mining.

   • Cerca nei file dello spazio di archiviazione stringhe comuni utilizzate dalle applicazioni di mining, ad esempio btc.com, ethminer, xmrig, cpuminer e randomx. Per altri esempi di stringhe che puoi cercare, vedi Nomi di software e regole YARA e la documentazione correlata per ogni software elencato.

3. Se determini che l'applicazione è un'applicazione di mining e il relativo processo è ancora in esecuzione, termina il processo. Individua il binario eseguibile dell'applicazione nello spazio di archiviazione della VM ed eliminalo.

4. Se necessario, interrompi l'istanza compromessa e sostituiscila con una nuova.

Passaggi successivi

• Scopri come utilizzare i risultati relativi alle minacce in Security Command Center.
• Consulta l'indice dei risultati delle minacce.
• Scopri come esaminare un risultato tramite la console Google Cloud .
• Scopri di più sui servizi che generano risultati di minacce.