执行:加密货币挖矿哈希匹配

本文档介绍了 Security Command Center 中的一种威胁发现结果类型。当威胁检测器在您的云资源中检测到潜在威胁时,会生成威胁发现结果。如需查看可用威胁发现结果的完整列表,请参阅威胁发现结果索引

概览

VM Threat Detection 通过将正在运行的程序的内存哈希与已知加密货币挖矿软件的内存哈希匹配,检测到加密货币挖矿活动。

如何应答

如需响应此发现结果,请执行以下操作:

第 1 步:查看发现结果详情

  1. 按照查看发现结果中所述,打开 Execution: Cryptocurrency Mining Hash Match 发现结果。 系统会打开发现结果详细信息面板,以显示摘要标签页。

  2. 摘要标签页上,查看以下部分中的信息:

    • 检测到的内容,尤其是以下字段:

      • 二进制文件系列:检测到的加密货币应用。
      • 程序二进制文件:进程的绝对路径。
      • 参数:调用进程二进制文件时提供的参数。
      • 进程名称:在与检测到的签名匹配相关联的虚拟机实例中运行的进程的名称。

      VM Threat Detection 可以识别主要 Linux 发行版中的内核版本。如果它可以识别受影响的虚拟机的内核版本,则可以确定应用的进程详细信息,并填充发现结果的 processes 字段。如果 VM Threat Detection 无法识别内核(例如,内核是自定义构建的),则系统不会填充发现结果的 processes 字段。

    • 受影响的资源,尤其是以下字段:

      • 资源全名:受影响的虚拟机实例的完整资源名称,其中包括该实例所在的项目的 ID。

  3. 如需查看此发现结果的完整 JSON,请在发现结果的详情视图中点击 JSON 标签页。

    • indicator
      • signatures
        • memory_hash_signature:与内存页面哈希对应的签名。
        • detections
          • binary:加密货币应用的二进制文件的名称,例如 linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0
          • percent_pages_matched:内存中与页面哈希数据库中已知加密货币应用的页面匹配的页面百分比。

第 2 步:检查日志

  1. 在 Google Cloud 控制台中,前往 Logs Explorer

    前往 Logs Explorer

  2. 在 Google Cloud 控制台工具栏中,选择包含发现结果详细信息摘要标签页上资源全名行中指定的虚拟机实例的项目。

  3. 查看日志,了解受影响虚拟机实例是否存在入侵迹象。例如,检查是否存在可疑或未知的活动以及凭据被盗用的迹象。

第 3 步:查看权限和设置

  1. 在发现结果详细信息摘要标签页的资源全名字段中,点击链接。
  2. 查看虚拟机实例的详细信息,包括网络和访问权限设置。

第 4 步:研究攻击和响应方法

  1. 查看执行的 MITRE ATT&CK 框架条目。
  2. 如需制定响应方案,请将您的调查结果与 MITRE 研究相结合。

第 5 步:实现响应

以下响应方案可能适合此发现结果,但也可能会影响运营。 请仔细评估您在研究中收集的信息,以确定解析发现结果的最佳方法。

为了帮助您检测和移除,请使用端点检测和响应解决方案。

  1. 联系该虚拟机的所有者。

  2. 确认该应用是否为挖矿应用:

    • 如果提供了检测到的应用的进程名称和二进制文件路径,请在调查中考虑发现结果详情摘要标签页上程序二进制文件参数进程名称行中的值。

    • 如果未提供进程详细信息,请检查内存哈希签名中的二进制文件名称是否可以提供线索。考虑使用名为 linux-x86-64_xmrig_2.14.1 的二进制文件。您可以使用 grep 命令搜索存储空间中的重要文件。在搜索模式中使用二进制名称的有意义的部分,在本例中为 xmrig。检查搜索结果。

    • 检查正在运行的进程,尤其是 CPU 使用率较高的进程,看看是否存在任何无法识别的进程。确定关联的应用是否为挖矿应用。

    • 在存储空间的文件中搜索挖矿应用使用的常见字符串,例如 btc.comethminerxmrigcpuminerrandomx。如需查看您可以搜索的字符串的更多示例,请参阅软件名称和 YARA 规则以及列出的每个软件的相关文档。

  3. 如果您确定该应用是挖矿应用,并且其进程仍在运行,请终止该进程。在虚拟机的存储空间中找到应用的可执行二进制文件,并将其删除。

  4. 如有必要,请停止已被破解的实例并用新实例取代。

后续步骤