Cette page explique comment afficher et gérer les résultats de VM Threat Detection. Elle vous explique également comment activer ou désactiver le service et ses modules.
Présentation
Virtual Machine Threat Detection est un service intégré de Security Command Center disponible dans les niveaux Enterprise et Premium. Ce service analyse les instances Compute Engine pour détecter les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode kernel et les logiciels malveillants exécutés dans des environnements cloud compromis.
VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.
Pour en savoir plus, consultez la présentation de VM Threat Detection.
Coûts
Une fois que vous êtes inscrit à Security Command Center Premium, l'utilisation de VM Threat Detection n'entraîne aucun coût supplémentaire.
Avant de commencer
Pour utiliser cette fonctionnalité, vous devez être abonné à Security Command Center Premium.
En outre, vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès.
Tester VM Threat Detection
Pour tester la détection du minage de cryptomonnaie par VM Threat Detection, vous pouvez exécuter une application de minage de cryptomonnaie sur votre VM. Pour obtenir la liste des noms binaires et des règles YARA qui déclenchent les résultats, consultez la section Noms logiciels et règles YARA. Si vous installez et testez des applications de minage, nous vous recommandons d'exécuter des applications uniquement dans un environnement de test isolé, de surveiller étroitement leur utilisation et de les supprimer complètement après le test.
Pour tester la détection de logiciels malveillants de VM Threat Detection, vous pouvez télécharger des applications malveillantes sur votre VM. Si vous téléchargez un logiciel malveillant, nous vous recommandons de le faire dans un environnement de test isolé et de le supprimer complètement après le test.
Examiner les résultats dans la console Google Cloud
Pour examiner les résultats de VM Threat Detection dans la console Google Cloud, procédez comme suit:
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Virtual Machine Threat Detection. Les résultats de la requête de résultats sont mis à jour pour n'afficher que les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom dans la colonne Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Résumé.
- Dans l'onglet Récapitulatif, examinez les détails de l'anomalie, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour corriger l'anomalie.
- Facultatif: Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Pour en savoir plus sur la manière de répondre à chaque résultat de VM Threat Detection, consultez la section Réponse à VM Threat Detection.
Pour obtenir la liste des résultats de VM Threat Detection, consultez la section Résultats.
Gravité
Les résultats de VM Threat Detection sont classés par niveau de gravité élevé, moyen et faible en fonction du niveau de confiance de la classification des menaces.
Détections combinées
Les détections combinées se produisent lorsque plusieurs catégories de résultats sont détectées au cours d'une journée. Une ou plusieurs applications malveillantes peuvent être à l'origine des résultats.
Par exemple, une même application peut déclencher simultanément les résultats Execution: Cryptocurrency Mining YARA Rule et Execution: Cryptocurrency
Mining Hash Match. Cependant, toutes les menaces détectées à partir d'une même source au cours d'une même journée sont regroupées dans un seul résultat de détection combinée. Dans les jours suivants, si d'autres menaces sont détectées, même s'il s'agit des mêmes, elles sont associées à de nouveaux résultats.
Pour obtenir un exemple de résultat de détection combinée, consultez la section Exemples de formats de résultat.
Exemples de formats de résultat
Ces exemples de sortie JSON contiennent des champs communs aux résultats de VM Threat Detection. Chaque exemple n'affiche que les champs pertinents pour le type de résultat. Il ne fournit pas une liste exhaustive des champs.
Vous pouvez exporter les résultats via la console Security Command Center ou les lister via l'API Security Command Center.
Pour afficher des exemples de résultats, développez un ou plusieurs des nœuds suivants. Pour en savoir plus sur chaque champ de la recherche, consultez Finding.
Defense Evasion: Rootkit
Cet exemple de sortie montre la détection d'un rootkit en mode kernel connu : Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Cet exemple de sortie montre une menace détectée à la fois par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Modifier l'état des résultats
Lorsque vous résolvez les menaces identifiées par VM Threat Detection, le service ne définit pas automatiquement l'état d'un résultat sur Inactif dans les analyses suivantes. En raison de la nature de notre domaine de gestion des menaces, VM Threat Detection ne peut pas déterminer si une menace a été atténuée ou si elle a changé pour éviter la détection.
Lorsque vos équipes de sécurité considèrent que la menace est minimale, elles peuvent effectuer les étapes suivantes pour définir les résultats à l'état inactif.
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
À côté de Afficher par, cliquez sur Type de source.
Dans la liste Type de source, sélectionnez Virtual Machine Threat Detection. Une table présente les résultats correspondant au type de source que vous avez sélectionné.
Cochez la case à côté des résultats résolus.
Cliquez sur Modifier l'état de l'activité.
Cliquez sur Inactif.
Activer ou désactiver VM Threat Detection
VM Threat Detection est activé par défaut pour tous les clients qui s'inscrivent à Security Command Center Premium après le 15 juillet 2022, date à laquelle ce service est devenu disponible pour tous. Si nécessaire, vous pouvez le désactiver ou le réactiver manuellement pour votre projet ou votre organisation.
Lorsque vous activez VM Threat Detection sur une organisation ou un projet, le service analyse automatiquement toutes les ressources compatibles de cette organisation ou ce projet. À l'inverse, lorsque vous désactivez VM Threat Detection sur une organisation ou un projet, le service arrête d'analyser toutes les ressources compatibles qu'il contient.
Pour activer ou désactiver VM Threat Detection, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Virtual Machine Threat Detection Service Enablement (Activation du service de détection des menaces sur les machines virtuelles).
Dans la colonne Virtual Machine Threat Detection (Détection des menaces sur les machines virtuelles), sélectionnez l'état actuel, puis l'une des options suivantes:
- Enable (Activer) : activez VM Threat Detection.
- Désactiver: désactivez VM Threat Detection.
- Hériter: hérite de l'état d'activation du dossier ou de l'organisation parent. Disponible uniquement pour les projets et les dossiers.
gcloud
La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organization,folderouproject) -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
NEW_STATE:ENABLEDpour activer VM Threat Detection,DISABLEDpour désactiver VM Threat Detection ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Exécutez la commande gcloud scc manage services update:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
NEW_STATE:ENABLEDpour activer VM Threat Detection,DISABLEDpour désactiver VM Threat Detection ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Méthode HTTP et URL :
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Corps JSON de la requête :
{
"intendedEnablementState": "NEW_STATE"
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Activer ou désactiver un module VM Threat Detection
Pour activer ou désactiver un détecteur VM Threat Detection individuel, également appelé module, procédez comme suit : Un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées.
Pour en savoir plus sur tous les résultats de menace de VM Threat Detection et les modules qui les génèrent, consultez la section Résultats de menace.
Console
La console Google Cloud vous permet d'activer ou de désactiver les modules VM Threat Detection au niveau de l'organisation. Pour activer ou désactiver les modules de détection des menaces sur les VM au niveau du dossier ou du projet, utilisez gcloud CLI ou l'API REST.
Dans la console Google Cloud, accédez à la page Modules de détection des menaces pour les machines virtuelles.
Dans la colonne État, sélectionnez l'état actuel du module que vous souhaitez activer ou désactiver, puis sélectionnez l'une des options suivantes:
- Activer: activez le module.
- Désactiver: désactivez le module.
gcloud
La commande gcloud scc manage services update met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organization,folderouproject) -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
MODULE_NAME: nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats des menaces. -
NEW_STATE:ENABLEDpour activer le module,DISABLEDpour le désactiver ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Enregistrez le code suivant dans un fichier nommé request.json :
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Exécutez la commande gcloud scc manage services update:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Command Center Management met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
MODULE_NAME: nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats des menaces. -
NEW_STATE:ENABLEDpour activer le module,DISABLEDpour le désactiver ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Méthode HTTP et URL :
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Corps JSON de la requête :
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Afficher les paramètres des modules VM Threat Detection
Pour en savoir plus sur tous les résultats de menace de VM Threat Detection et les modules qui les génèrent, consultez le tableau Résultats de menace.
Console
La console Google Cloud vous permet d'afficher les paramètres des modules VM Threat Detection au niveau de l'organisation. Pour afficher les paramètres des modules de détection des menaces sur les VM au niveau du dossier ou du projet, utilisez gcloud CLI ou l'API REST.
Pour afficher les paramètres dans la console Google Cloud, accédez à la page Modules de détection des menaces pour les machines virtuelles.
gcloud
La commande gcloud scc manage services update obtient l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à obtenir (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet.
Enregistrez le code suivant dans un fichier nommé request.json :
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Exécutez la commande gcloud scc manage services update:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
La méthode RESOURCE_TYPE.locations.securityCenterServices.get de l'API Security Command Center Management permet d'obtenir l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à obtenir (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à obtenir. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet.
Méthode HTTP et URL :
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Noms des logiciels et règles YARA pour la détection du minage de cryptomonnaie
Les listes suivantes incluent les noms des binaires et des règles YARA qui déclenchent des résultats de minage de cryptomonnaie. Pour afficher les listes, développez les nœuds.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: logiciel de minage pour la cryptomonnaie Arionum
- Avermore: logiciel de minage pour les cryptomonnaies basées sur scrypt
- Beam CUDA miner: logiciel de minage pour les cryptomonnaies basées sur Equihash
- Beam OpenCL miner: logiciel de minage pour les cryptomonnaies basées sur Equihash
- BFGMiner: logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- BMiner: logiciel de minage pour diverses cryptomonnaies
- Cast XMR: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- ccminer: logiciel de minage basé sur CUDA
- cgminer: logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- Claymore's miner: logiciel de minage basé sur le GPU pour diverses cryptomonnaies
- CPUMiner : famille de logiciels de minage basés sur processeur
- CryptoDredge: famille de logiciels de minage pour CryptoDredge
- CryptoGoblin: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- DamoMiner: logiciel de minage basé sur le GPU pour Ethereum et d'autres cryptomonnaies
- DigitsMiner: logiciel de minage pour Digits
- EasyMiner: logiciel de minage pour Bitcoin et d'autres cryptomonnaies
- Ethminer: logiciel de minage pour Ethereum et d'autres cryptomonnaies
- EWBF : logiciel de minage pour les cryptomonnaies basés sur Equihash
- FinMiner: logiciel de minage pour les cryptomonnaies basées sur Ethash et Cryptonight
- Funakoshi Miner: logiciel de minage pour les cryptomonnaies Bitcoin-Gold
- Geth: logiciel de minage pour Ethereum
- GMiner: logiciel de minage pour diverses cryptomonnaies
- gominer: logiciel de minage pour Decred
- GrinGoldMiner: logiciel de minage pour Grin
- Hush: logiciel de minage pour les cryptomonnaies basés sur Zcash
- IxiMiner: logiciel de minage pour Ixian
- kawpowminer: logiciel de minage pour Ravencoin
- Komodo: famille de logiciels de minage pour Komodo
- lolMiner: logiciel de minage pour diverses cryptomonnaies
- lukMiner: logiciel de minage pour diverses cryptomonnaies
- MinerGate: logiciel de minage pour diverses cryptomonnaies
- miniZ: logiciel de minage pour les cryptomonnaies basées sur Equihash
- Mirai : logiciel malveillant pouvant servir à miner des cryptomonnaies
- MultiMiner: logiciel de minage pour diverses cryptomonnaies
- nanominer: logiciel de minage pour diverses cryptomonnaies
- NBMiner: logiciel de minage pour diverses cryptomonnaies
- Nevermore: logiciel de minage pour diverses cryptomonnaies
- nheqminer: logiciel de minage pour NiceHash
- NinjaRig: logiciel de minage pour les cryptomonnaies basées sur Argon2
- NodeCore PoW CUDA Miner: logiciel de minage pour VeriBlock
- NoncerPro: logiciel de minage pour Nimiq
- Optiminer/Equihash: logiciel de minage pour les cryptomonnaies basées sur Equihash
- PascalCoin: famille de logiciels de minage pour PascalCoin
- PhoenixMiner: logiciel de minage pour Ethereum
- Pooler CPU Miner: logiciel de minage pour Litecoin et Bitcoin
- ProgPoW Miner: logiciel de minage pour Ethereum et d'autres cryptomonnaies
- rhminer: logiciel de minage pour PascalCoin
- sgminer: logiciel de minage pour les cryptomonnaies basées sur scrypt
- simplecoin: famille de logiciels de minage pour SimpleCoin basé sur scrypt
- Skypool Nimiq Miner: logiciel de minage pour Nimiq
- SwapReferenceMiner: logiciel de minage pour Grin
- Team Red Miner: logiciel de minage basé sur AMD pour diverses cryptomonnaies
- T-Rex: logiciel de minage pour diverses cryptomonnaies
- TT-Miner : logiciel de minage pour diverses cryptomonnaies
- Ubqminer: logiciel de minage pour les cryptomonnaies basées sur Ubqhash
- VersusCoin: logiciel de minage pour VersusCoin
- violetminer: logiciel de minage pour les cryptomonnaies basées sur Argon2
- webchain-miner: logiciel de minage pour MintMe
- WildRig: logiciel de minage pour diverses cryptomonnaies
- XCASH_ALL_Miner: logiciel de minage pour XCASH
- xFash: logiciel de minage pour MinerGate
- XLArig: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMRig: logiciel de minage pour diverses cryptomonnaies
- Xmr-Stak: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMR-Stak TurleCoin: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Xtl-Stak: logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Yam Miner: logiciel de minage pour MinerGate
- YCash: logiciel de minage pour YCash
- ZCoin: logiciel de minage pour ZCoin/Fire
- Zealot/Enemy : logiciel de minage pour diverses cryptomonnaies
- Signal de minage de cryptomonnaie1
1 Ce nom de menace générique indique qu'un logiciel de minage de cryptomonnaie inconnu peut fonctionner dans la VM, mais VM Threat Detection ne dispose pas d'informations spécifiques sur celui-ci.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1 : correspond au logiciel de minage pour Monero.
- YARA_RULE9: correspond au logiciel de minage qui utilise l'algorithme de chiffrement Blake2 et AES.
- YARA_RULE10: correspond au logiciel de minage qui utilise la routine de preuve de travail CryptoNight.
- YARA_RULE15 : correspond au logiciel de minage pour NBMiner.
- YARA_RULE17: correspond au logiciel de minage qui utilise la routine de preuve de travail Scrypt.
- YARA_RULE18: correspond au logiciel de minage qui utilise la routine de preuve de travail Scrypt.
- YARA_RULE19 : correspond au logiciel de minage pour BFGMiner.
- YARA_RULE24 : correspond au logiciel de minage pour XMR-Stak.
- YARA_RULE25 : correspond au logiciel de minage pour XMRig.
- DYNAMIC_YARA_RULE_BFGMINER_2 : correspond au logiciel de minage pour BFGMiner.
Étape suivante
- En savoir plus sur VM Threat Detection
- Découvrez comment examiner les résultats de VM Threat Detection.