執行：加密貨幣挖礦雜湊比對

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時，就會產生威脅發現項目。如需可用威脅發現項目的完整清單，請參閱「威脅發現項目索引」。

總覽

VM Threat Detection 會比對執行中程式的記憶體雜湊值與已知加密貨幣挖礦軟體的記憶體雜湊值，藉此偵測加密貨幣挖礦活動。

回應方式

如要回應這項發現，請按照下列步驟操作：

步驟 1：查看調查結果詳細資料

1. 按照「查看結果」一文的指示，開啟 Execution: Cryptocurrency Mining Hash Match 發現項目。系統會開啟發現項目的詳細資料面板，並顯示「摘要」分頁。

2. 在「摘要」分頁中，查看下列各節的資訊：

   • 偵測到的內容，尤其是下列欄位：

     • 二進位檔系列：偵測到的加密貨幣應用程式。
     • 程式二進位檔：程序的絕對路徑。
     • 引數：叫用程序二進位檔時提供的引數。
     • 程序名稱：在 VM 執行個體中執行的程序名稱，與偵測到的簽章相符。

     VM 威脅偵測功能可辨識主要 Linux 發行版的 Kernel 建構作業。如果可以辨識受影響 VM 的核心建構版本，就能找出應用程式的程序詳細資料，並填入調查結果的 processes 欄位。如果 VM 威脅偵測無法辨識核心 (例如核心是自訂建構)，則不會填入調查結果的 processes 欄位。

   • 受影響的資源，尤其是下列欄位：

     • 資源完整名稱：受影響 VM 執行個體的完整資源名稱，包括所屬專案的 ID。

3. 如要查看這項發現的完整 JSON，請在發現的詳細資料檢視畫面中，按一下「JSON」分頁標籤。

   • indicator
     • signatures：
       • memory_hash_signature：與記憶體網頁雜湊值對應的簽章。
       • detections
         • binary：加密貨幣應用程式的二進位檔名稱，例如 linux--x86-64_ethminer_0.19.0_alpha.0_cuda10.0。
         • percent_pages_matched：記憶體中與網頁雜湊資料庫中已知加密貨幣應用程式網頁相符的網頁百分比。

步驟 2：檢查記錄

1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

   前往記錄檔探索工具

2. 在 Google Cloud 控制台工具列中，選取包含 VM 執行個體的專案，如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所示。

3. 檢查記錄檔，瞭解受影響的 VM 執行個體是否有入侵跡象。舉例來說，請檢查是否有可疑或不明活動，以及遭盜用的憑證。

步驟 3：檢查權限和設定

1. 在調查結果詳細資料的「摘要」分頁中，點選「資源完整名稱」欄位中的連結。
2. 查看 VM 執行個體的詳細資料，包括網路和存取權設定。

步驟 4：研究攻擊和回應方法

1. 查看「執行」的 MITRE ATT&CK 架構項目。
2. 如要制定回應計畫，請將調查結果與 MITRE 研究結合。

步驟 5：實作回應

下列回應計畫可能適用於這項發現，但也可能影響作業。 請仔細評估調查期間收集到的資訊，找出解決問題的最佳方法。

如要協助偵測及移除，請使用端點偵測及回應解決方案。

1. 與 VM 擁有者聯絡。

2. 確認應用程式是否為挖礦應用程式：

   • 如果偵測到的應用程式程序名稱和二進位路徑可用，請考慮調查結果「摘要」分頁中「程式二進位檔」、「引數」和「程序名稱」列的值。

   • 如果無法取得程序詳細資料，請檢查記憶體雜湊簽章中的二進位名稱是否提供線索。假設有一個名為 linux-x86-64_xmrig_2.14.1 的二進位檔。您可以使用 grep 指令搜尋儲存空間中的重要檔案。在搜尋模式中使用二進位名稱中有意義的部分，在本例中為 xmrig。查看搜尋結果。

   • 檢查正在執行的程序，特別是 CPU 使用率較高的程序，看看是否有任何您不認識的程序。判斷相關聯的應用程式是否為挖礦應用程式。

   • 在儲存空間中搜尋挖礦應用程式使用的常見字串，例如 btc.com、ethminer、xmrig、cpuminer 和 randomx。 如需更多可搜尋的字串範例，請參閱軟體名稱和 YARA 規則，以及所列各項軟體的相關說明文件。

3. 如果判斷應用程式為挖礦應用程式，且程序仍在執行中，請終止程序。在 VM 的儲存空間中找出應用程式的可執行檔二進位檔，然後刪除。

4. 如有必要，請停止遭入侵的執行個體，並換成新的執行個體。

後續步驟

• 瞭解如何在 Security Command Center 中處理威脅調查結果。
• 請參閱威脅發現項目索引。
• 瞭解如何透過 Google Cloud 控制台查看發現項目。
• 瞭解會產生威脅發現項目的服務。