Execução: correspondência de hash de mineração de criptomoedas

Este documento descreve um tipo de descoberta de ameaça no Security Command Center. As descobertas de ameaças são geradas por detectores de ameaças quando eles detectam uma ameaça potencial nos seus recursos da nuvem. Para uma lista completa das descobertas de ameaças disponíveis, consulte o índice de descobertas de ameaças.

Visão geral

A detecção de ameaças da VM detectou atividades de mineração de criptomoedas pela correspondência de hashes de memória de programas em execução com hashes de memória conhecidos de softwares de mineração de criptomoedas.

Como responder

Para responder a essa descoberta, faça o seguinte:

Etapa 1: verificar os detalhes da descoberta

1. Abra uma descoberta Execution: Cryptocurrency Mining Hash Match, conforme direcionado em Verificar descobertas. O painel de detalhes da descoberta é aberto na guia Resumo.

2. Na guia Resumo, confira as informações nas seguintes seções:

   • O que foi detectado, especialmente os seguintes campos:

     • Família binária: o aplicativo de ameaça que foi detectado.
     • Binário do programa: o caminho absoluto do processo.
     • Argumentos: os argumentos fornecidos ao invocar o binário do processo.
     • Nomes de processo: o nome do processo, em execução na instância de VM, associado às correspondências de assinatura detectadas

     O VM Threat Detection é capaz de reconhecer builds de kernel das principais distribuições do Linux. Se ele reconhecer o build do kernel da VM afetada, poderá identificar os detalhes do processo do aplicativo e preencher o campo processes da descoberta. Se o VM Threat Detection não puder reconhecer o kernel, por exemplo, se o kernel for personalizado, o campo processes da descoberta não será preenchido.

   • Recurso afetado, especialmente os seguintes campos:

     • Nome completo do recurso: o nome completo do recurso da instância de VM afetada, incluindo o ID do projeto que o contém

3. Para ver o JSON completo dessa descoberta, clique na guia JSON na visualização detalhada.

   • indicator
     • signatures:
       • memory_hash_signature: uma assinatura correspondente a hashes de páginas de memória.
       • detections
         • binary: o nome do binário do aplicativo de criptomoeda. Por exemplo, linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0.
         • percent_pages_matched: a porcentagem de páginas na memória que correspondem a páginas em aplicativos de criptomoedas conhecidos no banco de dados de hash de página.

Etapa 2: verificar os registros

1. No console Google Cloud , acesse Análise de registros.

   Acessar o Explorador de registros

2. Na barra de ferramentas do console do Google Cloud , selecione o projeto que contém a instância de VM, conforme especificado na linha Nome completo do recurso na guia Resumo dos detalhes de descoberta.

3. Verifique nos registros se há sinais de invasão na instância da VM afetada. Por exemplo, verifique se há atividades suspeitas ou desconhecidas e sinais de credenciais comprometidas.

Etapa 3: verificar permissões e configurações

1. Na guia Resumo dos detalhes da descoberta, no campo Nome completo do recurso, clique no link.
2. Revise os detalhes da instância de VM, incluindo as configurações de rede e acesso.

Etapa 4: pesquisar métodos de ataque e resposta

1. Revise as entradas de framework do MITRE ATT&CK para Execução.
2. Para desenvolver um plano de resposta, combine os resultados da investigação com a pesquisa do MITRE.

Etapa 5: implementar a resposta

O plano de resposta a seguir pode ser apropriado para essa descoberta, mas também pode afetar as operações. Avalie cuidadosamente as informações coletadas na investigação para determinar a melhor maneira de resolver as descobertas.

Para ajudar na detecção e remoção, use uma solução de detecção e resposta de endpoints.

1. Entre em contato com o proprietário da VM.

2. Confirme se o aplicativo é de mineração:

   • Se o nome do processo e o caminho binário do aplicativo detectado estiverem disponíveis, considere os valores nas linhas Binário do programa, Argumentos e Nomes de processo na guia Resumo dos detalhes da descoberta na sua investigação.

   • Se os detalhes do processo não estiverem disponíveis, verifique se o nome binário da assinatura de hash de memória pode fornecer pistas. Considere um binário chamado linux-x86-64_xmrig_2.14.1. Você pode usar o comando grep para pesquisar arquivos importantes no armazenamento. Use uma parte significativa do nome binário no seu padrão de pesquisa, nesse caso, xmrig. Examine os resultados da pesquisa.

   • Examine os processos em execução, especialmente aqueles com alto uso de CPU, para ver se há algum que você não reconhece. Determine se os aplicativos associados são de mineração.

   • Pesquise os arquivos no armazenamento em busca de strings comuns que os aplicativos de mineração usam, como btc.com, ethminer, xmrig, cpuminer e randomx. Para mais exemplos de strings que podem ser pesquisadas, consulte Nomes de software e regras YARA e a documentação relacionada para cada software listado.

3. Se você determinar que o aplicativo é de mineração e o processo ainda está em execução, encerre o processo. Localize o binário executável do aplicativo no armazenamento da VM e exclua-o.

4. Se necessário, interrompa a instância comprometida e substitua-a por uma nova instância.

A seguir

• Saiba como trabalhar com descobertas de ameaças no Security Command Center.
• Consulte o índice de descobertas de ameaças.
• Saiba como analisar uma descoberta no console Google Cloud .
• Saiba mais sobre os serviços que geram descobertas de ameaças.