Halaman ini menjelaskan cara melihat dan mengelola temuan Deteksi Ancaman VM. Panduan ini juga menunjukkan cara mengaktifkan atau menonaktifkan layanan dan modulnya.
Ringkasan
Virtual Machine Threat Detection adalah layanan bawaan Security Command Center yang tersedia di paket Enterprise dan Premium. Layanan ini memindai instance Compute Engine untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan cryptocurrency, rootkit mode kernel, dan malware yang berjalan di lingkungan cloud yang disusupi.
Deteksi Ancaman VM adalah bagian dari suite deteksi ancaman Security Command Center dan dirancang untuk melengkapi kemampuan yang ada dari Event Threat Detection dan Container Threat Detection.
Untuk mengetahui informasi selengkapnya, lihat ringkasan VM Threat Detection.
Biaya
Setelah Anda mendaftar ke Security Command Center Premium, tidak ada biaya tambahan untuk menggunakan Deteksi Ancaman VM.
Sebelum memulai
Untuk menggunakan fitur ini, Anda harus terdaftar di Security Command Center Premium.
Selain itu, Anda memerlukan peran Identity and Access Management (IAM) yang memadai untuk melihat atau mengedit temuan, dan mengubah resource Google Cloud. Jika Anda mengalami error akses di Security Command Center, minta bantuan administrator Anda. Untuk mempelajari peran lebih lanjut, lihat Kontrol akses.
Menguji VM Threat Detection
Untuk menguji deteksi penambangan mata uang kripto Deteksi Ancaman VM, Anda dapat menjalankan aplikasi penambangan mata uang kripto di VM. Untuk mengetahui daftar nama biner dan aturan YARA yang memicu temuan, lihat Nama software dan aturan YARA. Jika Anda menginstal dan menguji aplikasi penambangan, sebaiknya Anda hanya menjalankan aplikasi di lingkungan pengujian yang terisolasi, memantau penggunaannya dengan cermat, dan menghapusnya sepenuhnya setelah pengujian.
Untuk menguji deteksi malware Deteksi Ancaman VM, Anda dapat mendownload aplikasi malware di VM. Jika Anda mendownload malware, sebaiknya lakukan di lingkungan pengujian yang terisolasi, dan hapus sepenuhnya setelah pengujian.
Meninjau temuan di konsol Google Cloud
Untuk meninjau temuan Deteksi Ancaman VM di konsol Google Cloud, lakukan hal berikut:
- Di konsol Google Cloud, buka halaman Temuan di Security Command Center.
- Pilih project atau organisasi Google Cloud Anda.
- Di bagian Quick filters, di subbagian Source display name, pilih Virtual Machine Threat Detection. Hasil kueri temuan diperbarui untuk hanya menampilkan temuan dari sumber ini.
- Untuk melihat detail temuan tertentu, klik nama temuan di kolom Kategori. Panel detail untuk temuan akan terbuka dan menampilkan tab Ringkasan.
- Di tab Ringkasan, tinjau detail temuan, termasuk informasi tentang apa yang terdeteksi, resource yang terpengaruh, dan—jika tersedia—langkah-langkah yang dapat Anda lakukan untuk memperbaiki temuan tersebut.
- Opsional: Untuk melihat definisi JSON lengkap dari temuan, klik tab JSON.
Untuk informasi yang lebih mendetail tentang cara merespons setiap temuan Deteksi Ancaman VM, lihat Respons Deteksi Ancaman VM.
Untuk daftar temuan Threat Detection VM, lihat Temuan.
Keparahan
Temuan Virtual Machine Threat Detection diberi tingkat keparahan Tinggi, Sedang, dan Rendah berdasarkan keyakinan klasifikasi ancaman.
Deteksi gabungan
Deteksi gabungan terjadi saat beberapa kategori temuan terdeteksi
dalam sehari. Temuan ini dapat disebabkan oleh satu atau beberapa aplikasi berbahaya.
Misalnya, satu aplikasi dapat memicu
temuan Execution: Cryptocurrency Mining YARA Rule dan Execution: Cryptocurrency
Mining Hash Match secara bersamaan. Namun, semua ancaman yang terdeteksi dari satu sumber
dalam hari yang sama digabungkan menjadi satu temuan deteksi gabungan. Pada
hari-hari berikutnya, jika lebih banyak ancaman ditemukan, bahkan yang sama, ancaman tersebut
akan dilampirkan ke temuan baru.
Untuk contoh temuan deteksi gabungan, lihat Contoh format temuan.
Contoh format temuan
Contoh output JSON ini berisi kolom yang umum untuk temuan Deteksi Ancaman VM. Setiap contoh hanya menampilkan kolom yang relevan dengan jenis temuan; contoh ini tidak memberikan daftar kolom yang lengkap.
Anda dapat mengekspor temuan melalui konsol Security Command Center atau mencantumkan temuan melalui Security Command Center API.
Untuk melihat contoh temuan, luaskan satu atau beberapa node berikut. Untuk
mengetahui informasi tentang setiap kolom dalam temuan, lihat
Finding.
Defense Evasion: Rootkit
Contoh output ini menunjukkan temuan rootkit mode kernel yang diketahui: Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler (Pratinjau)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Contoh output ini menunjukkan ancaman yang terdeteksi oleh modul
CRYPTOMINING_HASH dan CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Mengubah status temuan
Saat Anda menyelesaikan ancaman yang diidentifikasi oleh Virtual Machine Threat Detection, layanan ini tidak akan otomatis menetapkan status temuan ke Tidak aktif dalam pemindaian berikutnya. Karena sifat domain ancaman kami, Deteksi Ancaman VM tidak dapat menentukan apakah ancaman telah dimitigasi atau telah berubah untuk menghindari deteksi.
Jika tim keamanan Anda yakin bahwa ancaman telah dimitigasi, mereka dapat melakukan langkah-langkah berikut untuk mengubah status temuan menjadi tidak aktif.
Buka halaman Temuan di Security Command Center di Konsol Google Cloud.
Di samping Lihat menurut, klik Jenis Sumber.
Dalam daftar Source type, pilih Virtual Machine Threat Detection. Tabel akan terisi dengan temuan untuk jenis sumber yang Anda pilih.
Centang kotak di samping temuan yang telah diselesaikan.
Klik Ubah Status Aktif.
Klik Tidak aktif.
Mengaktifkan atau menonaktifkan VM Threat Detection
Deteksi Ancaman VM diaktifkan secara default untuk semua pelanggan yang mendaftar ke Security Command Center Premium setelah 15 Juli 2022, yaitu saat layanan ini tersedia secara umum. Jika perlu, Anda dapat menonaktifkan atau mengaktifkannya kembali secara manual untuk project atau organisasi Anda.
Saat Anda mengaktifkan VM Threat Detection di organisasi atau project, layanan ini akan otomatis memindai semua resource yang didukung di organisasi atau project tersebut. Sebaliknya, saat Anda menonaktifkan VM Threat Detection di organisasi atau project, layanan akan berhenti memindai semua resource yang didukung di dalamnya.
Untuk mengaktifkan atau menonaktifkan Deteksi Ancaman VM, lakukan hal berikut:
Konsol
Di konsol Google Cloud, buka halaman Virtual Machine Threat Detection Service Enablement.
Di kolom Virtual Machine Threat Detection, pilih status saat ini, lalu pilih salah satu dari opsi berikut:
- Enable: mengaktifkan VM Threat Detection
- Nonaktifkan: menonaktifkan Deteksi Ancaman VM
- Warisan: mewarisi status pengaktifan dari folder induk atau organisasi; hanya tersedia untuk project dan folder
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organization,folder, atauproject) -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperbarui; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
NEW_STATE:ENABLEDuntuk mengaktifkan VM Threat Detection;DISABLEDuntuk menonaktifkan VM Threat Detection; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Jalankan perintah
gcloud scc manage services update:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode RESOURCE_TYPE.locations.securityCenterServices.patch Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organizations,folders, atauprojects) -
QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperbarui; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
NEW_STATE:ENABLEDuntuk mengaktifkan VM Threat Detection;DISABLEDuntuk menonaktifkan VM Threat Detection; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Meminta isi JSON:
{
"intendedEnablementState": "NEW_STATE"
}
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Mengaktifkan atau menonaktifkan modul VM Threat Detection
Untuk mengaktifkan atau menonaktifkan setiap detektor Deteksi Ancaman VM, yang juga dikenal sebagai modul, lakukan tindakan berikut. Diperlukan waktu hingga satu jam agar perubahan dapat diterapkan.
Untuk informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang menghasilkannya, lihat Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda mengaktifkan atau menonaktifkan modul VM Threat Detection di tingkat organisasi. Untuk mengaktifkan atau menonaktifkan modul Deteksi Ancaman VM di tingkat folder atau project, gunakan gcloud CLI atau REST API.
Di konsol Google Cloud, buka halaman Virtual Machine Threat Detection Modules.
Di kolom Status, pilih status modul saat ini yang ingin Anda aktifkan atau nonaktifkan, lalu pilih salah satu dari opsi berikut:
- Enable: Mengaktifkan modul.
- Nonaktifkan: Menonaktifkan modul.
gcloud
Perintah
gcloud scc manage services update
memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organization,folder, atauproject) -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperbarui; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan; untuk nilai yang valid, lihat Temuan ancaman -
NEW_STATE:ENABLEDuntuk mengaktifkan modul;DISABLEDuntuk menonaktifkan modul; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Simpan konten berikut ini dalam file yang bernama request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Jalankan perintah
gcloud scc manage services update:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode RESOURCE_TYPE.locations.securityCenterServices.patch Security Command Center Management API memperbarui status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperbarui (organizations,folders, atauprojects) -
QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperbarui; untuk project, Anda juga dapat menggunakan project ID alfanumerik -
MODULE_NAME: nama modul yang akan diaktifkan atau dinonaktifkan; untuk nilai yang valid, lihat Temuan ancaman -
NEW_STATE:ENABLEDuntuk mengaktifkan modul;DISABLEDuntuk menonaktifkan modul; atauINHERITEDuntuk mewarisi status pengaktifan resource induk (hanya berlaku untuk project dan folder)
Metode HTTP dan URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Meminta isi JSON:
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Melihat setelan modul Threat Detection VM
Untuk mengetahui informasi tentang semua temuan ancaman Deteksi Ancaman VM dan modul yang menghasilkannya, lihat tabel Temuan ancaman.
Konsol
Konsol Google Cloud memungkinkan Anda melihat setelan untuk modul Deteksi Ancaman VM di tingkat organisasi. Untuk melihat setelan modul Deteksi Ancaman VM di tingkat folder atau project, gunakan gcloud CLI atau REST API.
Untuk melihat setelan di konsol Google Cloud, buka halaman Virtual Machine Threat Detection Modules.
gcloud
Perintah
gcloud scc manage services update
mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperoleh (organizations,folders, atauprojects) -
QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperoleh; untuk project, Anda juga dapat menggunakan project ID alfanumerik
Simpan konten berikut ini dalam file yang bernama request.json:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Jalankan perintah
gcloud scc manage services update:
Linux, macOS, atau Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Anda akan melihat respons seperti berikut:
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Metode RESOURCE_TYPE.locations.securityCenterServices.get Security Command Center Management API mendapatkan status layanan atau modul Security Command Center.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
RESOURCE_TYPE: jenis resource yang akan diperoleh (organizations,folders, atauprojects) -
QUOTA_PROJECT: project ID yang akan digunakan untuk penagihan dan pelacakan kuota -
RESOURCE_ID: ID numerik organisasi, folder, atau project yang akan diperoleh; untuk project, Anda juga dapat menggunakan project ID alfanumerik
Metode HTTP dan URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Nama software dan aturan YARA untuk deteksi penambangan mata uang kripto
Daftar berikut menyertakan nama biner dan aturan YARA yang memicu temuan penambangan mata uang kripto. Untuk melihat daftar, luaskan node.
Execution: Cryptocurrency Mining Hash Match
- Penambangan CPU Arionum: software penambangan untuk mata uang kripto Arionum
- Avermore: software penambangan untuk mata uang kripto berbasis scrypt
- Beam CUDA miner: software penambangan untuk mata uang kripto berbasis Equihash
- Beam OpenCL miner: software penambangan untuk mata uang kripto berbasis Equihash
- BFGMiner: Software penambangan berbasis ASIC/FPGA untuk Bitcoin
- BMiner: software penambangan untuk berbagai mata uang kripto
- Cast XMR: software penambangan untuk mata uang kripto berbasis CryptoNight
- ccminer: Software penambangan berbasis CUDA
- cgminer: Software penambangan berbasis ASIC/FPGA untuk Bitcoin
- Claymore's miner: Software penambangan berbasis GPU untuk berbagai mata uang kripto
- CPUMiner: keluarga software penambangan berbasis CPU
- CryptoDredge: keluarga software penambangan untuk CryptoDredge
- CryptoGoblin: software penambangan untuk mata uang kripto berbasis CryptoNight
- DamoMiner: Software penambangan berbasis GPU untuk Ethereum dan mata uang kripto lainnya
- DigitsMiner: software penambangan untuk Digits
- EasyMiner: software penambangan untuk Bitcoin dan mata uang kripto lainnya
- Ethminer: software penambangan untuk Ethereum dan mata uang kripto lainnya
- EWBF: software penambangan untuk mata uang kripto berbasis Equihash
- FinMiner: software penambangan untuk mata uang kripto berbasis Ethash dan CryptoNight
- Funakoshi Miner: software penambangan untuk mata uang kripto Bitcoin-Gold
- Geth: software penambangan untuk Ethereum
- GMiner: software penambangan untuk berbagai mata uang kripto
- gominer: software penambangan untuk Decred
- GrinGoldMiner: software penambangan untuk Grin
- Hush: software penambangan untuk mata uang kripto berbasis Zcash
- IxiMiner: software penambangan untuk Ixian
- kawpowminer: software penambangan untuk Ravencoin
- Komodo: keluarga software penambangan untuk Komodo
- lolMiner: software penambangan untuk berbagai mata uang kripto
- lukMiner: software penambangan untuk berbagai mata uang kripto
- MinerGate: software penambangan untuk berbagai mata uang kripto
- miniZ: software penambangan untuk mata uang kripto berbasis Equihash
- Mirai: malware yang dapat digunakan untuk menambang mata uang kripto
- MultiMiner: software penambangan untuk berbagai mata uang kripto
- nanominer: software penambangan untuk berbagai mata uang kripto
- NBMiner: software penambangan untuk berbagai mata uang kripto
- Nevermore: software penambangan untuk berbagai mata uang kripto
- nheqminer: software penambangan untuk NiceHash
- NinjaRig: software penambangan untuk mata uang kripto berbasis Argon2
- NodeCore PoW CUDA Miner: software penambangan untuk VeriBlock
- NoncerPro: software penambangan untuk Nimiq
- Optiminer/Equihash: software penambangan untuk mata uang kripto berbasis Equihash
- PascalCoin: keluarga software penambangan untuk PascalCoin
- PhoenixMiner: software penambangan untuk Ethereum
- Pooler CPU Miner: software penambangan untuk Litecoin dan Bitcoin
- ProgPoW Miner: software penambangan untuk Ethereum dan mata uang kripto lainnya
- rhminer: software penambangan untuk PascalCoin
- sgminer: software penambangan untuk mata uang kripto berbasis scrypt
- simplecoin: keluarga software penambangan untuk SimpleCoin berbasis scrypt
- Skypool Nimiq Miner: software penambangan untuk Nimiq
- SwapReferenceMiner: software penambangan untuk Grin
- Team Red Miner: Software penambangan berbasis AMD untuk berbagai mata uang kripto
- T-Rex: software penambangan untuk berbagai mata uang kripto
- TT-Miner: software penambangan untuk berbagai mata uang kripto
- Ubqminer: software penambangan untuk mata uang kripto berbasis Ubqhash
- VersusCoin: software penambangan untuk VersusCoin
- violetminer: software penambangan untuk mata uang kripto berbasis Argon2
- webchain-miner: software penambangan untuk MintMe
- WildRig: software penambangan untuk berbagai mata uang kripto
- XCASH_ALL_Miner: software penambangan untuk XCASH
- xFash: software penambangan untuk MinerGate
- XLArig: software penambangan untuk mata uang kripto berbasis CryptoNight
- XMRig: software penambangan untuk berbagai mata uang kripto
- Xmr-Stak: software penambangan untuk mata uang kripto berbasis CryptoNight
- XMR-Stak TurtleCoin: software penambangan untuk mata uang kripto berbasis CryptoNight
- Xtl-Stak: software penambangan untuk mata uang kripto berbasis CryptoNight
- Yam Miner: software penambangan untuk MinerGate
- YCash: software penambangan untuk YCash
- ZCoin: software penambangan untuk ZCoin/Fire
- Zealot/Enemy: software penambangan untuk berbagai mata uang kripto
- Sinyal penambang mata uang kripto1
1 Nama ancaman umum ini menunjukkan bahwa penambangan mata uang kripto yang tidak dikenal mungkin beroperasi di VM, tetapi Deteksi Ancaman VM tidak memiliki informasi spesifik tentang penambangan tersebut.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: cocok dengan software penambangan untuk Monero
- YARA_RULE9: cocok dengan software penambangan yang menggunakan cipher Blake2 dan AES
- YARA_RULE10: cocok dengan software penambangan yang menggunakan rutinitas proof-of-work CryptoNight
- YARA_RULE15: cocok dengan software penambangan untuk NBMiner
- YARA_RULE17: cocok dengan software penambangan yang menggunakan rutinitas proof-of-work Scrypt
- YARA_RULE18: cocok dengan software penambangan yang menggunakan rutinitas proof-of-work Scrypt
- YARA_RULE19: cocok dengan software penambangan untuk BFGMiner
- YARA_RULE24: mencocokkan software penambangan untuk XMR-Stak
- YARA_RULE25: cocok dengan software penambangan untuk XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: mencocokkan software penambangan untuk BFGMiner
Langkah selanjutnya
- Pelajari VM Threat Detection lebih lanjut.
- Pelajari cara menyelidiki temuan Pendeteksian Ancaman VM.