執行:加密貨幣挖礦 YARA 規則

本文說明 Security Command Center 中的威脅發現項目類型。威脅偵測工具偵測到雲端資源中可能存在威脅時,就會產生威脅發現項目。如需可用威脅發現項目的完整清單,請參閱「威脅發現項目索引」。

總覽

VM Threat Detection 偵測到加密貨幣挖礦活動,方法是比對記憶體模式,例如加密貨幣挖礦軟體使用的工作量證明常數。

回應方式

如要回應這項發現,請按照下列步驟操作:

步驟 1:查看調查結果詳細資料

  1. 按照「查看結果」一文中的指示,開啟 Execution: Cryptocurrency Mining YARA Rule 發現項目。系統會開啟發現項目的詳細資料面板,並顯示「摘要」分頁。

  2. 在「摘要」分頁中,查看下列各節的資訊:

    • 偵測到的內容,尤其是下列欄位:

      • YARA 規則名稱:YARA 偵測工具觸發的規則。
      • 程式二進位檔:程序的絕對路徑。
      • 引數:叫用程序二進位檔時提供的引數。
      • 程序名稱:在 VM 執行個體中執行的程序名稱,與偵測到的簽章相符。

      VM 威脅偵測功能可辨識主要 Linux 發行版的 Kernel 建構作業。如果可以辨識受影響 VM 的核心建構版本,就能找出應用程式的程序詳細資料,並填入調查結果的 processes 欄位。如果 VM 威脅偵測無法辨識核心 (例如核心是自訂建構),則不會填入調查結果的 processes 欄位。

    • 受影響的資源,尤其是下列欄位:

      • 資源完整名稱:受影響 VM 執行個體的完整資源名稱,包括所屬專案的 ID。

    • 相關連結,尤其是下列欄位:

      • Cloud Logging URI:記錄檔項目的連結。
      • MITRE ATT&CK 方法:連結至 MITRE ATT&CK 文件。
      • 相關發現項目:任何相關發現項目的連結。
      • VirusTotal 指標:連結至 VirusTotal 分析頁面。

  3. 如要查看這項發現的完整 JSON,請在發現的詳細資料檢視畫面中,按一下「JSON」分頁標籤。

步驟 2:檢查記錄

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面。

    前往記錄檔探索工具

  2. 在 Google Cloud 控制台工具列中,選取包含 VM 執行個體的專案,如發現詳細資料的「Summary」(摘要) 分頁中「Resource full name」(資源全名) 列所示。

  3. 檢查記錄檔,瞭解受影響的 VM 執行個體是否有入侵跡象。舉例來說,請檢查是否有可疑或不明活動,以及遭盜用的憑證

步驟 3:檢查權限和設定

  1. 在調查結果詳細資料的「摘要」分頁中,點選「資源完整名稱」欄位中的連結。
  2. 查看 VM 執行個體的詳細資料,包括網路和存取權設定。

步驟 4:研究攻擊和回應方法

  1. 查看「執行」的 MITRE ATT&CK 架構項目。
  2. 如要制定回應計畫,請將調查結果與 MITRE 研究結合。

步驟 5:實作回應

下列回應計畫可能適用於這項發現,但也可能影響作業。 請仔細評估調查期間收集到的資訊,找出解決問題的最佳方法。

如要協助偵測及移除,請使用端點偵測及回應解決方案。

  1. 與 VM 擁有者聯絡。

  2. 確認應用程式是否為挖礦應用程式:

    • 如果偵測到的應用程式程序名稱和二進位路徑可用,請考慮調查結果「摘要」分頁中「程式二進位檔」、「引數」和「程序名稱」列的值。

    • 檢查正在執行的程序,特別是 CPU 使用率較高的程序,看看是否有任何您不認識的程序。判斷相關聯的應用程式是否為挖礦應用程式。

    • 在儲存空間中搜尋挖礦應用程式使用的常見字串,例如 btc.comethminerxmrigcpuminerrandomx。 如需更多可搜尋的字串範例,請參閱軟體名稱和 YARA 規則,以及所列各項軟體的相關說明文件。

  3. 如果判斷應用程式為挖礦應用程式,且程序仍在執行中,請終止程序。在 VM 的儲存空間中找出應用程式的可執行檔二進位檔,然後刪除。

  4. 如有必要,請停止遭入侵的執行個體,並換成新的執行個體。

後續步驟