En esta página se describe cómo ver y gestionar los hallazgos de detección de amenazas de VMs. También se explica cómo habilitar o inhabilitar el servicio y sus módulos.
Información general
Virtual Machine Threat Detection es un servicio integrado de Security Command Center. Este servicio analiza las máquinas virtuales para detectar aplicaciones potencialmente maliciosas, como software de minería de criptomonedas, rootkits en modo kernel y malware que se ejecutan en entornos de nube vulnerados.
VM Threat Detection forma parte de la suite de detección de amenazas de Security Command Center y se ha diseñado para complementar las funciones de Event Threat Detection y Container Threat Detection.
Para obtener más información, consulta la descripción general de la detección de amenazas en VMs.
Antes de empezar
Para obtener los permisos que necesitas para gestionar el servicio Detección de amenazas de máquinas virtuales y sus módulos, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de gestión de Security Center (roles/securitycentermanagement.admin) en la organización, la carpeta o el proyecto.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Probar Virtual Machine Threat Detection
Para probar la detección de minería de criptomonedas de VM Threat Detection, puedes ejecutar una aplicación de minería de criptomonedas en tu máquina virtual. Para ver una lista de nombres binarios y reglas YARA que activan resultados, consulta Nombres de software y reglas YARA. Si instalas y pruebas aplicaciones de minería, te recomendamos que solo las ejecutes en un entorno de pruebas aislado, que monitorices su uso de cerca y que las elimines por completo después de probarlas.
Para probar la detección de malware de Virtual Machine Threat Detection, puedes descargar aplicaciones de malware en tu VM. Si descargas malware, te recomendamos que lo hagas en un entorno de prueba aislado y que lo elimines por completo después de probarlo.
Revisar los resultados en la Google Cloud consola
Para revisar los resultados de Detección de amenazas de máquinas virtuales en la consola de Google Cloud , sigue estos pasos:
- En la Google Cloud consola, ve a la página Resultados de Security Command Center.
- Selecciona tu Google Cloud proyecto u organización.
- En la sección Filtros rápidos, en la subsección Nombre visible de la fuente, seleccione Detección de amenazas de máquinas virtuales. Los resultados de la consulta de detecciones se actualizan para mostrar solo las detecciones de esta fuente.
- Para ver los detalles de un resultado específico, haga clic en su nombre en la columna Categoría. Se abre el panel de detalles del resultado y se muestra la pestaña Resumen.
- En la pestaña Resumen, consulta los detalles de la detección, incluida la información sobre lo que se ha detectado, el recurso afectado y, si está disponible, los pasos que puedes seguir para corregir la detección.
- Opcional: Para ver la definición JSON completa de la detección, haga clic en la pestaña JSON.
Para obtener información sobre cómo responder a una detección de amenazas de una máquina virtual específica, busca la detección en el índice de detecciones de amenazas.
Para ver recomendaciones de respuesta de alto nivel, consulta el artículo Responder a las detecciones de amenazas de Compute Engine.
Para ver una lista de las detecciones de amenazas de VMs, consulta Detecciones.
Gravedad
A los resultados de VM Threat Detection se les asigna una gravedad alta, media o baja en función de la confianza de la clasificación de la amenaza.
Detecciones combinadas
Las detecciones combinadas se producen cuando se detectan varias categorías de resultados en un mismo día. Los resultados pueden deberse a una o varias aplicaciones maliciosas.
Por ejemplo, una sola aplicación puede activar simultáneamente detecciones de Execution: Cryptocurrency Mining YARA Rule y Execution: Cryptocurrency
Mining Hash Match. Sin embargo, todas las amenazas detectadas de una misma fuente en el mismo día se agrupan en un solo hallazgo de detección combinada. En los días siguientes, si se detectan más amenazas, aunque sean las mismas, se adjuntarán a nuevos resultados.
Para ver un ejemplo de un resultado de detección combinada, consulta Formatos de resultados de ejemplo.
Ejemplos de formatos de resultados
En esta sección se proporcionan ejemplos de salida JSON de las detecciones de amenazas de VMs. Verás este resultado cuando exportes resultados con laGoogle Cloud consola o listes resultados con la API de Security Command Center o la CLI de Google Cloud.
En los ejemplos de esta página se muestran diferentes tipos de resultados. Cada ejemplo incluye solo los campos más relevantes para ese tipo de resultado.
Para ver una lista completa de los campos disponibles en un resultado, consulta la documentación de la API de Security Command Center sobre el recurso Finding.
Puedes exportar resultados a través de la consola de Security Command Center o listar resultados mediante la API de Security Command Center.
Para ver los resultados de ejemplo, despliega uno o varios de los siguientes nodos. Para obtener información sobre cada campo de la detección, consulta Finding.
Defense Evasion: Rootkit
En este ejemplo de salida se muestra un resultado de un rootkit conocido en modo kernel: Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
En este ejemplo de salida se muestra una amenaza que han detectado los módulos CRYPTOMINING_HASH y CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Cambiar el estado de los resultados
Cuando resuelves las amenazas identificadas por Detección de amenazas de VMs, el servicio no cambia automáticamente el estado de un resultado a Inactivo en análisis posteriores. Debido a la naturaleza de nuestro dominio de amenazas, Detección de amenazas de VM no puede determinar si una amenaza se ha mitigado o ha cambiado para evitar la detección.
Cuando tus equipos de seguridad estén seguros de que se ha mitigado una amenaza, podrán seguir estos pasos para cambiar el estado de las detecciones a Inactivo.
Ve a la página Resultados de Security Command Center en la Google Cloud consola.
Junto a Ver por, haz clic en Tipo de fuente.
En la lista Tipo de fuente, seleccione Detección de amenazas de máquinas virtuales. Se rellenará una tabla con los resultados del tipo de fuente que hayas seleccionado.
Seleccione la casilla situada junto a los resultados que se hayan resuelto.
Haz clic en Cambiar estado activo.
Haz clic en Inactivo.
Habilitar o inhabilitar Detección de amenazas de VM para Google Cloud
En esta sección se describe cómo habilitar o inhabilitar la detección de amenazas en máquinas virtuales de Compute Engine. Para habilitar Detección de amenazas en VMs para VMs de AWS, consulta Habilitar Detección de amenazas en VMs para AWS.
VM Threat Detection está habilitado de forma predeterminada para todos los clientes que se registren en Security Command Center Premium después del 15 de julio del 2022, fecha en la que este servicio pasó a estar disponible de forma general. Si es necesario, puedes inhabilitarlo o volver a habilitarlo manualmente en tu proyecto u organización.
Cuando habilitas Detección de amenazas de VM en una organización o un proyecto, el servicio analiza automáticamente todos los recursos admitidos de esa organización o proyecto. Por el contrario, cuando inhabilitas la detección de amenazas de VMs en una organización o un proyecto, el servicio deja de analizar todos los recursos compatibles que contenga.
Para habilitar o inhabilitar la detección de amenazas de la VM, sigue estos pasos:
Consola
En la Google Cloud consola, ve a la página Habilitación del servicio Virtual Machine Threat Detection.
Selecciona tu organización o proyecto.
En la pestaña Habilitación de servicios, en la columna Detección de amenazas de máquinas virtuales, selecciona el estado de habilitación de la organización, la carpeta o el proyecto que quieras modificar y, a continuación, selecciona una de las siguientes opciones:
- Habilitar: habilita la detección de amenazas de VM.
- Inhabilitar: inhabilita la detección de amenazas de la VM.
- Heredar: hereda el estado de habilitación de la carpeta o la organización superior. Esta opción solo está disponible para proyectos y carpetas.
gcloud
El comando
gcloud scc manage services update
actualiza el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organization,folderoproject) -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto. -
NEW_STATE:ENABLEDpara habilitar VM Threat Detection;DISABLEDpara inhabilitar VM Threat Detection; oINHERITEDpara heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).
Ejecuta el comando
gcloud scc manage services update:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Deberías recibir una respuesta similar a la siguiente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
El método RESOURCE_TYPE.locations.securityCenterServices.patch
de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organizations,foldersoprojects) -
QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas. -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto. -
NEW_STATE:ENABLEDpara habilitar VM Threat Detection;DISABLEDpara inhabilitar VM Threat Detection; oINHERITEDpara heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).
Método HTTP y URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Cuerpo JSON de la solicitud:
{
"intendedEnablementState": "NEW_STATE"
}
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Habilitar o inhabilitar un módulo de detección de amenazas de VM
Para habilitar o inhabilitar un detector de Event Threat Detection de una VM concreta, también conocido como módulo, sigue estos pasos. Los cambios pueden tardar hasta una hora en aplicarse.
Para obtener información sobre todas las detecciones de amenazas de VM y los módulos que las generan, consulta Detecciones de amenazas.
Consola
La consola de Google Cloud te permite habilitar o inhabilitar módulos de detección de amenazas de VMs a nivel de organización. Para habilitar o inhabilitar módulos de detección de amenazas de VM a nivel de carpeta o proyecto, usa la CLI de gcloud o la API REST.
En la Google Cloud consola, ve a la página Módulos de Virtual Machine Threat Detection.
Haga clic en la pestaña del proveedor de la nube para el que quiera habilitar o inhabilitar módulos (por ejemplo, Google Cloud).
En la pestaña Módulos, en la columna Estado, seleccione el estado actual del módulo que quiera habilitar o inhabilitar y, a continuación, elija una de las siguientes opciones:
- Habilitar: habilita el módulo.
- Inhabilitar: inhabilita el módulo.
gcloud
El comando
gcloud scc manage services update
actualiza el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organization,folderoproject) -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto. -
MODULE_NAME: nombre del módulo que se va a habilitar o inhabilitar. Para ver los valores válidos, consulta Resultados de amenazas. -
NEW_STATE:ENABLEDpara habilitar el módulo;DISABLEDpara inhabilitar el módulo; oINHERITEDpara heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).
Guarda el siguiente contenido en un archivo llamado request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Ejecuta el comando
gcloud scc manage services update:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Deberías recibir una respuesta similar a la siguiente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
El método RESOURCE_TYPE.locations.securityCenterServices.patch
de la API Management de Security Command Center actualiza el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
RESOURCE_TYPE: el tipo de recurso que se va a actualizar (organizations,foldersoprojects) -
QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas. -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a actualizar. En el caso de los proyectos, también puedes usar el ID alfanumérico del proyecto. -
MODULE_NAME: nombre del módulo que se va a habilitar o inhabilitar. Para ver los valores válidos, consulta Resultados de amenazas. -
NEW_STATE:ENABLEDpara habilitar el módulo;DISABLEDpara inhabilitar el módulo; oINHERITEDpara heredar el estado de habilitación del recurso principal (solo es válido para proyectos y carpetas).
Método HTTP y URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Cuerpo JSON de la solicitud:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Ver los ajustes de los módulos de detección de amenazas de VMs
Para obtener información sobre todas las detecciones de amenazas de VM y los módulos que las generan, consulta la tabla Detecciones de amenazas.
Consola
La consola Google Cloud te permite ver los ajustes de los módulos de detección de amenazas de máquinas virtuales a nivel de organización. Para ver los ajustes de los módulos de detección de amenazas de VMs a nivel de carpeta o proyecto, usa la CLI de gcloud o la API REST.
Para ver la configuración en la consola, ve a la página Módulos de detección de amenazas de la máquina virtual. Google Cloud
gcloud
El comando
gcloud scc manage services describe
obtiene el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
-
RESOURCE_TYPE: el tipo de recurso que se va a obtener (organization,folderoproject) -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a obtener. En el caso de los proyectos, también puede usar el ID alfanumérico del proyecto.
Ejecuta el comando
gcloud scc manage services describe:
Linux, macOS o Cloud Shell
gcloud scc manage services describe vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services describe vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services describe vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Deberías recibir una respuesta similar a la siguiente:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
El método RESOURCE_TYPE.locations.securityCenterServices.get
de la API Management de Security Command Center obtiene el estado de un servicio o módulo de Security Command Center.
Antes de usar los datos de la solicitud, haz las siguientes sustituciones:
-
RESOURCE_TYPE: el tipo de recurso que se va a obtener (organizations,foldersoprojects) -
QUOTA_PROJECT: el ID de proyecto que se usará para la facturación y el seguimiento de cuotas. -
RESOURCE_ID: identificador numérico de la organización, la carpeta o el proyecto que se va a obtener. En el caso de los proyectos, también puede usar el ID alfanumérico del proyecto.
Método HTTP y URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Para enviar tu solicitud, despliega una de estas opciones:
Deberías recibir una respuesta JSON similar a la siguiente:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Nombres de software y reglas de YARA para la detección de minería de criptomonedas
En las siguientes listas se incluyen los nombres de los archivos binarios y las reglas YARA que activan las detecciones de minería de criptomonedas. Para ver las listas, expanda los nodos.
Execution: Cryptocurrency Mining Hash Match
- Miner de CPU de Arionum: software de minería para la criptomoneda Arionum
- Avermore software de minería de criptomonedas basadas en scrypt
- Beam CUDA miner: software de minería para criptomonedas basadas en Equihash
- Beam OpenCL miner: software de minería para criptomonedas basadas en Equihash
- BFGMiner software de minería basado en ASIC/FPGA para Bitcoin
- BMiner software de minería para varias criptomonedas
- Cast XMR: software de minería para criptomonedas basadas en CryptoNight
- ccminer: software de minería basado en CUDA
- cgminer: software de minería basado en ASIC o FPGA para Bitcoin.
- Miner de Claymore: software de minería basado en GPU para varias criptomonedas
- CPUMiner familia de software de minería basado en CPU
- CryptoDredge familia de software de minería para CryptoDredge
- CryptoGoblin software de minería para criptomonedas basadas en CryptoNight
- DamoMiner software de minería basado en GPU para Ethereum y otras criptomonedas
- DigitsMiner software de minería para Digits
- EasyMiner software de minería para Bitcoin y otras criptomonedas
- Ethminer: software de minería para Ethereum y otras criptomonedas
- EWBF software de minería para criptomonedas basadas en Equihash
- FinMiner software de minería para Ethash y criptomonedas basadas en CryptoNight
- Funakoshi Miner: software de minería para criptomonedas bitcoin gold
- Geth software de minería para Ethereum
- GMiner software de minería para varias criptomonedas
- gominer: software de minería para Decred
- GrinGoldMiner software de minería para Grin
- Hush: software de minería para criptomonedas basadas en Zcash
- IxiMiner software de minería para Ixian
- kawpowminer: software de minería para Ravencoin
- Komodo: familia de software de minería para Komodo
- lolMiner software de minería para varias criptomonedas
- lukMiner software de minería para varias criptomonedas
- MinerGate software de minería para varias criptomonedas
- miniZ software de minería para criptomonedas basadas en Equihash
- Mirai: malware que se puede usar para minar criptomonedas
- MultiMiner software de minería para varias criptomonedas
- nanominer: software de minería para varias criptomonedas
- NBMiner software de minería para varias criptomonedas
- Nevermore: software de minería para varias criptomonedas
- nheqminer: software de minería para NiceHash
- NinjaRig software de minería para criptomonedas basadas en Argon2
- NodeCore PoW CUDA Miner: software de minería para VeriBlock
- NoncerPro software de minería para Nimiq
- Optiminer/Equihash: software de minería para criptomonedas basadas en Equihash
- PascalCoin familia de software de minería para PascalCoin.
- PhoenixMiner software de minería para Ethereum
- Pooler CPU Miner: software de minería para Litecoin y Bitcoin
- ProgPoW Miner: software de minería para Ethereum y otras criptomonedas
- rhminer: software de minería para PascalCoin
- sgminer: software de minería para criptomonedas basadas en scrypt
- simplecoin: familia de software de minería para SimpleCoin basado en scrypt.
- Skypool Nimiq Miner: software de minería para Nimiq
- SwapReferenceMiner software de minería para Grin
- Team Red Miner: software de minería basado en AMD para varias criptomonedas
- T-Rex: software de minería para varias criptomonedas
- TT-Miner: software de minería para varias criptomonedas
- Ubqminer: software de minería para criptomonedas basadas en Ubqhash
- VersusCoin software de minería para VersusCoin.
- violetminer: software de minería para criptomonedas basadas en Argon2
- webchain-miner: software de minería para MintMe
- WildRig software de minería para varias criptomonedas
- XCASH_ALL_Miner software de minería para XCASH
- xFash software de minería para MinerGate
- XLArig software de minería para criptomonedas basadas en CryptoNight
- XMRig software de minería para varias criptomonedas
- Xmr-Stak: software de minería para criptomonedas basadas en CryptoNight
- XMR-Stak TurtleCoin: software de minería para criptomonedas basadas en CryptoNight
- Xtl-Stak: software de minería para criptomonedas basadas en CryptoNight
- Yam Miner: software de minería para MinerGate
- YCash software de minería para YCash.
- ZCoin software de minería para ZCoin o Fire.
- Zealot/Enemy: software de minería para varias criptomonedas
- Señal de minería de criptomonedas1
1 Este nombre de amenaza genérico indica que puede que haya un minero de criptomonedas desconocido operando en la VM, pero VM Threat Detection no tiene información específica sobre el minero.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1 coincide con el software de minería de Monero
- YARA_RULE9 coincide con el software de minería que usa el cifrado Blake2 y AES.
- YARA_RULE10 coincide con el software de minería que usa la rutina de prueba de trabajo CryptoNight .
- YARA_RULE15 coincide con el software de minería de NBMiner
- YARA_RULE17 coincide con el software de minería que usa la rutina de prueba de trabajo Scrypt.
- YARA_RULE18 coincide con el software de minería que usa la rutina de prueba de trabajo Scrypt.
- YARA_RULE19 coincide con el software de minería de BFGMiner
- YARA_RULE24 coincide con el software de minería de XMR-Stak
- YARA_RULE25 coincide con el software de minería de XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2 coincide con el software de minería de BFGMiner.
Siguientes pasos
- Consulta más información sobre detección de amenazas en VMs.
- Consulta cómo permitir que Detección de amenazas de VMs analice las VMs en perímetros de Controles de Servicio de VPC.
- Consulta cómo habilitar VM Threat Detection en AWS.
- Consulta cómo responder a las detecciones de amenazas de Compute Engine.
- Consulta el índice de hallazgos de amenazas.