Cette page explique comment afficher et gérer les résultats de VM Threat Detection. Il y a aussi vous montre comment activer ou désactiver le service et ses modules.
Présentation
Virtual Machine Threat Detection, un service intégré à Security Command Center Premium, fournit détection des menaces via une instrumentation au niveau de l'hyperviseur et des disques persistants l'analyse. VM Threat Detection détecte les applications potentiellement malveillantes, telles que les logiciels de minage de cryptomonnaie, les rootkits en mode noyau et les logiciels malveillants exécutés dans dans les environnements cloud compromis.
VM Threat Detection fait partie de la suite de détection des menaces de Security Command Center Premium. Il est conçu pour compléter les fonctionnalités existantes d'Event Threat Detection et de Container Threat Detection.
Pour en savoir plus, consultez la page Présentation de VM Threat Detection.
Coûts
Une fois que vous êtes inscrit à Security Command Center Premium, l'utilisation de VM Threat Detection n'entraîne aucun coût supplémentaire.
Avant de commencer
Pour utiliser cette fonctionnalité, vous devez être inscrit à Security Command Center Premium
En outre, vous devez disposer des rôles IAM (Identity and Access Management) appropriés pour afficher ou modifier les résultats, et pour modifier les ressources Google Cloud. Si vous rencontrez des erreurs d'accès dans Security Command Center, demandez de l'aide à votre administrateur. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès.
Tester VM Threat Detection
Pour tester la détection du minage de cryptomonnaie de VM Threat Detection, vous pouvez exécuter de minage de cryptomonnaie sur votre VM. Pour obtenir une liste de noms binaires et Règles YARA qui des résultats du déclencheur, consultez Noms de logiciels et règles YARA Si vous installez et d'explorer les applications, nous vous recommandons de n'exécuter que les applications de test isolé, de surveiller de près leur utilisation et de les supprimer complètement après les tests.
Pour tester la détection des logiciels malveillants de VM Threat Detection, vous pouvez télécharger des logiciels malveillants des applications sur votre VM. Si vous téléchargez un logiciel malveillant, nous vous recommandons de le faire dans un environnement de test isolé et de le supprimer complètement après le test.
Examiner les résultats dans la console Google Cloud
Pour examiner les résultats de VM Threat Detection dans la console Google Cloud, procédez comme suit :
- Dans la console Google Cloud, accédez à la page Résultats de Security Command Center.
- Sélectionnez votre projet ou votre organisation Google Cloud.
- Dans la section Filtres rapides, dans la sous-section Nom à afficher pour la source, sélectionnez Virtual Machine Threat Detection. Les résultats de la requête sont mis à jour pour n'afficher que les les résultats de cette source.
- Pour afficher les détails d'un résultat spécifique, cliquez sur son nom sous Catégorie. Le panneau d'informations du résultat s'ouvre et affiche l'onglet Récapitulatif.
- Dans l'onglet Récapitulatif, examinez les détails de la non-conformité, y compris les informations sur ce qui a été détecté, la ressource concernée et, le cas échéant, les mesures que vous pouvez prendre pour y remédier.
- Facultatif : Pour afficher la définition JSON complète du résultat, cliquez sur l'onglet JSON.
Pour en savoir plus sur la manière de répondre à chaque résultat de VM Threat Detection, consultez la section Réponse à VM Threat Detection.
Pour obtenir la liste des résultats de VM Threat Detection, consultez la section Résultats.
Gravité
Les résultats de VM Threat Detection sont classés par niveau de gravité élevé, moyen et faible en fonction du niveau de confiance de la classification des menaces.
Détections combinées
Des détections combinées se produisent lorsque plusieurs catégories de résultats sont détectées
dans les 24 heures. Les résultats peuvent être causés par une ou plusieurs applications malveillantes.
Par exemple, une même application peut déclencher simultanément les résultats Execution: Cryptocurrency Mining YARA Rule et Execution: Cryptocurrency
Mining Hash Match. Cependant, toutes les menaces détectées à partir d'une même source au cours d'une même journée sont regroupées dans un seul résultat de détection combinée. Dans les jours suivants, si d'autres menaces sont détectées, même s'il s'agit des mêmes, elles sont associées à de nouveaux résultats.
Pour obtenir un exemple de résultat de détection combinée, consultez la section Exemples de formats de résultat.
Exemples de formats de résultat
Ces exemples de résultats JSON contiennent des champs communs à VM Threat Detection. les résultats. Chaque exemple n'affiche que les champs pertinents pour le type de résultat. Il ne fournit pas une liste exhaustive des champs.
Vous pouvez exporter les résultats via la console Security Command Center ou les lister via l'API Security Command Center.
Pour afficher des exemples de résultats, développez un ou plusieurs des nœuds suivants. Pour en savoir plus sur chaque champ de la recherche, consultez Finding.
Defense Evasion: Rootkit (bêta)
Cet exemple de sortie montre la détection d'un rootkit en mode kernel connu : Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler (bêta)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Cet exemple de sortie montre une menace détectée à la fois par les modules CRYPTOMINING_HASH et CRYPTOMINING_YARA.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_1" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_2" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Modifier l'état des résultats
Lorsque vous résolvez les menaces identifiées par VM Threat Detection, le service ne définit pas automatiquement l'état d'un résultat sur Inactif dans les analyses suivantes. En raison de la nature de notre domaine de gestion des menaces, VM Threat Detection ne peut pas déterminer si une menace a été atténuée ou si elle a changé pour éviter la détection.
Lorsque vos équipes de sécurité considèrent que la menace est minimale, elles peuvent effectuer les étapes suivantes pour définir les résultats à l'état inactif.
Accédez à la page Résultats de Security Command Center dans la console Google Cloud.
À côté de Afficher par, cliquez sur Type de source.
Dans la liste Type de source, sélectionnez Virtual Machine Threat Detection. Une table présente les résultats correspondant au type de source que vous avez sélectionné.
Cochez la case à côté des résultats résolus.
Cliquez sur Modifier l'état de l'activité.
Cliquez sur Inactif.
Activer ou désactiver VM Threat Detection
VM Threat Detection est activée par défaut pour tous les clients qui s'inscrivent à Security Command Center Premium après le 15 juillet 2022, date à laquelle ce service a été mis en disponibilité générale. Si nécessaire, vous pouvez la désactiver ou la réactiver manuellement. pour votre projet ou votre organisation.
Lorsque vous activez VM Threat Detection sur une organisation ou un projet, le service analyse automatiquement toutes les ressources compatibles de cette organisation ou ce projet. À l'inverse, lorsque vous désactivez VM Threat Detection sur une organisation ou un projet, le service arrête d'analyser toutes les ressources compatibles qu'il contient.
Pour activer ou désactiver VM Threat Detection, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Virtual Machine Threat Detection "Activation du service".
Dans la colonne Virtual Machine Threat Detection, sélectionnez la règle , puis sélectionnez l'une des options suivantes:
- Enable (Activer) : activez VM Threat Detection.
- Désactiver: désactiver VM Threat Detection
- Hériter: hérite de l'état d'activation du dossier parent ou organisation ; disponible uniquement pour les projets et dossiers
gcloud
La
gcloud scc manage services update
met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organization,folderouproject) -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou projet à mettre à jour ; pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique -
NEW_STATE:ENABLEDpour activer VM Threat Detection,DISABLEDpour désactiver VM Threat Detection ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Exécutez la
gcloud scc manage services update
commande:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Center Management met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou projet à mettre à jour ; pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique -
NEW_STATE:ENABLEDpour activer VM Threat Detection ;DISABLEDpour désactiver VM Threat Detection ; ouINHERITEDpour hériter État d'activation de la ressource parente (valide uniquement pour les projets et les dossiers)
Méthode HTTP et URL :
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Corps JSON de la requête :
{
"intendedEnablementState": "NEW_STATE"
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Activer ou désactiver un module VM Threat Detection
Pour activer ou désactiver un détecteur de menaces VM individuel, également appelé module, procédez comme suit. La prise en compte des modifications peut prendre jusqu'à une heure l'effet.
Pour en savoir plus sur tous les résultats de menace de VM Threat Detection et les modules qui les génèrent, consultez la section Résultats de menace.
Console
La console Google Cloud vous permet d'activer ou de désactiver les modules VM Threat Detection au niveau de l'organisation. Pour activer ou désactiver VM Threat Detection : au niveau du dossier ou du projet, utilisez la gcloud CLI ou la API REST.
Dans la console Google Cloud, accédez à la page Virtual Machine Threat Detection Modules.
Dans la colonne État, sélectionnez l'état actuel du module que vous souhaitez activer ou désactiver, puis l'une des options suivantes :
- Activer : activez le module.
- Désactiver : désactivez le module.
gcloud
La
gcloud scc manage services update
met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organization,folderouproject) -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
MODULE_NAME: nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats des menaces. -
NEW_STATE:ENABLEDpour activer le module.DISABLEDpour désactiver le module ; ouINHERITEDpour hériter de l'activation État de la ressource parente (valide uniquement pour les projets et les dossiers)
Enregistrez le code suivant dans un fichier nommé request.json :
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Exécutez la
gcloud scc manage services update
commande:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
La méthode RESOURCE_TYPE.locations.securityCenterServices.patch de l'API Security Center Management met à jour l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à mettre à jour (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou du projet à mettre à jour. Pour les projets, vous pouvez également utiliser l'ID alphanumérique du projet. -
MODULE_NAME: nom du module à activer ou à désactiver. Pour connaître les valeurs valides, consultez la section Résultats des menaces. -
NEW_STATE:ENABLEDpour activer le module,DISABLEDpour le désactiver ouINHERITEDpour hériter de l'état d'activation de la ressource parente (valable uniquement pour les projets et les dossiers)
Méthode HTTP et URL :
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Corps JSON de la requête :
{
"modules": {
"MODULE_NAME": {
"intendedEnablementState": "NEW_STATE"
}
}
}
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Afficher les paramètres des modules VM Threat Detection
Pour en savoir plus sur les résultats de menaces VM Threat Detection et les modules qui les génèrent, consultez la section Menaces résultats tableau.
Console
La console Google Cloud vous permet d'afficher les paramètres des modules VM Threat Detection au niveau de l'organisation. Pour afficher les paramètres des modules de détection des menaces sur les VM au niveau du dossier ou du projet, utilisez la CLI gcloud ou l'API REST.
Pour afficher les paramètres dans la console Google Cloud, accédez à la page Modules de détection des menaces pour les machines virtuelles.
gcloud
La commande gcloud scc manage services update obtient l'état d'un service ou d'un module Security Command Center.
Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à obtenir (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou projet à obtenir ; pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique
Enregistrez le code suivant dans un fichier nommé request.json :
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Exécutez la
gcloud scc manage services update
commande:
Linux, macOS ou Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Vous devriez obtenir un résultat semblable à celui-ci :
effectiveEnablementState: ENABLED
modules:
CRYPTOMINING_HASH:
effectiveEnablementState: ENABLED
intendedEnablementState: ENABLED
CRYPTOMINING_YARA:
effectiveEnablementState: ENABLED
KERNEL_INTEGRITY_TAMPERING:
effectiveEnablementState: ENABLED
KERNEL_MEMORY_TAMPERING:
effectiveEnablementState: ENABLED
MALWARE_DISK_SCAN_YARA:
effectiveEnablementState: ENABLED
name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection
updateTime: '2024-08-05T22:32:01.536452397Z'
REST
L'API Security Center Management
RESOURCE_TYPE.locations.securityCenterServices.get
obtient l'état d'un module ou service Security Command Center.
Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :
-
RESOURCE_TYPE: type de ressource à obtenir (organizations,foldersouprojects) -
QUOTA_PROJECT: ID du projet à utiliser pour la facturation et le suivi des quotas -
RESOURCE_ID: identifiant numérique de l'organisation, du dossier ou projet à obtenir ; pour les projets, vous pouvez également utiliser l'ID de projet alphanumérique
Méthode HTTP et URL :
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{
"name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection",
"effectiveEnablementState": "ENABLED",
"modules": {
"CRYPTOMINING_YARA": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_MEMORY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"KERNEL_INTEGRITY_TAMPERING": {
"effectiveEnablementState": "ENABLED"
},
"CRYPTOMINING_HASH": {
"intendedEnablementState": "ENABLED",
"effectiveEnablementState": "ENABLED"
},
"MALWARE_DISK_SCAN_YARA": {
"effectiveEnablementState": "ENABLED"
}
},
"updateTime": "2024-08-05T22:32:01.536452397Z"
}
Noms des logiciels et règles YARA pour la détection du minage de cryptomonnaie
Les listes suivantes incluent les noms des binaires et des règles YARA qui déclenchent les résultats du minage de cryptomonnaie. Pour afficher les listes, développez les nœuds.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner : logiciel de minage pour la cryptomonnaie Arionum
- Avermore : logiciel de minage pour les cryptomonnaies basées sur scrypt
- Beam CUDA Miner: logiciel d'exploitation minière basé sur Equihash cryptomonnaies
- Beam OpenCL miner : logiciel de minage pour les cryptomonnaies basées sur Equihash
- BFGMiner: logiciel de minage basé sur ASIC/FPGA pour le bitcoin
- BMiner: logiciel de minage de cryptomonnaies
- Cast XMR : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- ccminer : logiciel de minage basé sur CUDA
- cgminer : logiciel de minage basé sur ASIC/FPGA pour Bitcoin
- Mineur de Claymore: logiciel d'exploitation minière basé sur GPU pour divers cryptomonnaies
- CPUMiner : famille de logiciels de minage basés sur processeur
- CryptoDredge : famille de logiciels de minage pour CryptoDredge
- CryptoGoblin: logiciel de minage Basé sur CryptoNight cryptomonnaies
- DamoMiner: logiciel d'exploitation minière basé sur GPU Ethereum et autres cryptomonnaies
- DigitsMiner : logiciel de minage pour Digits
- EasyMiner: logiciel d'extraction de bitcoins et d'autres cryptomonnaies
- Ethminer : logiciel de minage pour Ethereum et d'autres cryptomonnaies
- EWBF : logiciel de minage pour les cryptomonnaies basés sur Equihash
- FinMiner : logiciel de minage pour les cryptomonnaies basées sur Ethash et Cryptonight
- Funakoshi Miner: logiciel d'exploitation minière pour Cryptomonnaies Bitcoin-Gold
- Geth : logiciel de minage pour Ethereum
- GMiner : logiciel de minage pour diverses cryptomonnaies
- gominer: logiciel d'exploitation minière Déclaré
- GrinGoldMiner: logiciel d'exploitation minière Sourire
- Hush: logiciel d'exploitation minière Cryptomonnaies basées sur Zcash
- IxiMiner : logiciel de minage pour Ixian
- kawpowminer: logiciel d'exploitation minière Ravencoin
- Komodo: famille de logiciels d'exploitation minière pour Komodo
- lolMiner: logiciel de minage de cryptomonnaies
- lukMiner : logiciel de minage pour diverses cryptomonnaies
- MinerGate: logiciel d'extraction de cryptomonnaies
- miniZ : logiciel de minage pour les cryptomonnaies basées sur Equihash
- Mirai : logiciel malveillant pouvant servir à miner des cryptomonnaies
- MultiMiner: logiciel d'extraction de cryptomonnaies
- nanominer: logiciel d'extraction de cryptomonnaies
- NBMiner: logiciel de minage de cryptomonnaies
- Jamais plus: logiciel de minage de cryptomonnaies
- nheqminer: logiciel d'exploitation minière NiceHash
- NinjaRig: logiciel de minage de cryptomonnaies à base d'Argon2
- NodeCore PoW CUDA Miner: logiciel d'exploration des données pour VeriBlock
- NoncerPro: logiciel d'exploitation minière pour Nimiq
- Optiminer/Equihash : logiciel de minage pour les cryptomonnaies basées sur Equihash
- PascalCoin: famille de logiciels d'exploitation minière pour PascalCoin
- PhoenixMiner : logiciel de minage pour Ethereum
- Pooler CPU Miner : logiciel de minage pour Litecoin et Bitcoin
- ProgPoW Miner: logiciel d'exploitation minière pour Ethereum et autres cryptomonnaies
- rhminer : logiciel de minage pour PascalCoin
- sgminer : logiciel de minage pour les cryptomonnaies basées sur scrypt
- simplecoin : famille de logiciels de minage pour SimpleCoin basé sur scrypt
- Skypool Nimiq Miner: logiciel d'exploitation minière Nimiq
- SwapReferenceMiner : logiciel de minage pour Grin
- Team Red Miner : logiciel de minage basé sur AMD pour diverses cryptomonnaies
- T-Rex: logiciel de minage de cryptomonnaies
- TT-Miner : logiciel de minage pour diverses cryptomonnaies
- Ubqminer: logiciel de minage de cryptomonnaies Ubqhash
- VersusCoin : logiciel de minage pour VersusCoin
- violetminer : logiciel de minage pour les cryptomonnaies basées sur Argon2
- webchain-miner: logiciel d'exploration de MintMe
- WildRig: logiciel de minage de cryptomonnaies
- XCASH_ALL_Miner : logiciel de minage pour XCASH
- xFash : logiciel de minage pour MinerGate
- XLArig: logiciel d'exploitation minière pour Basée sur CryptoNight cryptomonnaies
- XMRig : logiciel de minage pour diverses cryptomonnaies
- Xmr-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- XMR-Stak TurleCoin : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Xtl-Stak : logiciel de minage pour les cryptomonnaies basées sur CryptoNight
- Yam Miner: logiciel d'exploitation minière pour MinerGate
- YCash: logiciel d'exploitation minière pour YCash
- ZCoin: logiciel de minage pour ZCoin/Fire
- Zealot/Enemy : logiciel de minage pour diverses cryptomonnaies
- Signal de minage de cryptomonnaie1
1 Ce nom de menace générique indique qu'un logiciel de minage de cryptomonnaie inconnu peut fonctionner dans la VM, mais VM Threat Detection ne dispose pas d'informations spécifiques sur celui-ci.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1 : correspond au logiciel de minage pour Monero.
- YARA_RULE9: correspond aux logiciels d'exploitation minière qui utilisent les Blake2 et chiffrement AES
- YARA_RULE10 : correspond au logiciel de minage qui utilise la routine de preuve de travail CryptoNight.
- YARA_RULE15 : correspond au logiciel de minage pour NBMiner.
- YARA_RULE17: correspond aux logiciels d'exploitation minière qui utilisent les Scrypt une preuve de travail routine
- YARA_RULE18: correspond aux logiciels d'exploitation minière qui utilisent les Scrypt une preuve de travail routine
- YARA_RULE19 : correspond au logiciel de minage pour BFGMiner.
- YARA_RULE24 : correspond au logiciel de minage pour XMR-Stak.
- YARA_RULE25 : correspond au logiciel de minage pour XMRig.
- DYNAMIC_YARA_RULE_BFGMINER_2 : correspond au logiciel de minage pour BFGMiner.
Étape suivante
- En savoir plus sur VM Threat Detection
- Découvrez comment examiner les résultats de VM Threat Detection.