Questa pagina descrive come visualizzare e gestire i risultati di Rilevamento minacce VM. Inoltre, spiega come attivare o disattivare il servizio e i relativi moduli.
Panoramica
Virtual Machine Threat Detection è un servizio integrato di Security Command Center disponibile nei livelli Enterprise e Premium. Questo servizio esegue la scansione delle istanze Compute Engine per rilevare applicazioni potenzialmente dannose, come software di mining di criptovalute, rootkit in modalità kernel e malware in esecuzione in ambienti cloud compromessi.
Virtual Machine Threat Detection fa parte della suite di rilevamento delle minacce di Security Command Center ed è progettata per integrare le funzionalità esistenti di Event Threat Detection e Container Threat Detection.
Per ulteriori informazioni, consulta la panoramica di Virtual Machine Threat Detection.
Costi
Dopo la registrazione a Security Command Center Premium, non sono previsti costi aggiuntivi per utilizzare il Rilevamento delle minacce VM.
Prima di iniziare
Per utilizzare questa funzionalità, devi aver eseguito la registrazione a Security Command Center Premium.
Inoltre, devi disporre di ruoli IAM (Identity and Access Management) adeguati per visualizzare o modificare i risultati e modificare le risorse Google Cloud. Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore. Per scoprire di più sui ruoli, consulta Controllo dell'accesso.
Testare VM Threat Detection
Per testare il rilevamento del mining di criptovalute di VM Threat Detection, puoi eseguire un'applicazione di mining di criptovalute sulla tua VM. Per un elenco di nomi di file binari e regole YARA che attivano i risultati, consulta Nomi software e regole YARA. Se installi e testare applicazioni di data mining, ti consigliamo di eseguire le applicazioni solo in un ambiente di test isolato, di monitorarne attentamente l'utilizzo e di rimuoverle completamente al termine del test.
Per testare il rilevamento del malware di VM Threat Detection, puoi scaricare applicazioni malware sulla tua VM. Se scarichi malware, ti consigliamo di farlo in un ambiente di test isolato e di rimuoverlo completamente al termine del test.
Esamina i risultati nella console Google Cloud
Per esaminare i risultati di Rilevamento minacce VM nella console Google Cloud, segui questi passaggi:
- Nella console Google Cloud, vai alla pagina Risultati di Security Command Center.
- Seleziona il tuo progetto o la tua organizzazione Google Cloud.
- Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato dell'origine, seleziona Rilevamento minacce virtual machine. I risultati della query sui risultati vengono aggiornati in modo da mostrare solo i risultati di questa origine.
- Per visualizzare i dettagli di un determinato rilevamento, fai clic sul nome del rilevamento nella colonna Categoria. Viene visualizzato il riquadro dei dettagli del risultato e la scheda Riepilogo.
- Nella scheda Riepilogo, esamina i dettagli del risultato, incluse informazioni su ciò che è stato rilevato, la risorsa interessata e, se disponibili, i passaggi che puoi svolgere per risolvere il problema.
- (Facoltativo) Per visualizzare la definizione JSON completa del rilevamento, fai clic sulla scheda JSON.
Per informazioni più dettagliate su come rispondere a ogni rilevamento di minacce VM, consulta la sezione Risposta al rilevamento di minacce VM.
Per un elenco dei risultati di VM Threat Detection, consulta Risultati.
Gravità
Ai risultati del rilevamento delle minacce VM vengono assegnati i livelli di gravità Alta, Media e Bassa in base alla confidenza della classificazione delle minacce.
Rilevamenti combinati
I rilevamenti combinati si verificano quando vengono rilevate più categorie di risultati
in un giorno. I risultati possono essere causati da una o più applicazioni dannose.
Ad esempio, una singola applicazione può attivare contemporaneamente risultati Execution: Cryptocurrency Mining YARA Rule
e Execution: Cryptocurrency
Mining Hash Match
. Tuttavia, tutte le minacce rilevate da una singola fonte
nello stesso giorno vengono raggruppate in un unico risultato di rilevamento combinato. Nei giorni seguenti, se vengono rilevate altre minacce, anche le stesse, vengono associate ai nuovi risultati.
Per un esempio di rilevamento combinato, consulta Formati di risultati di esempio.
Formati di risultati di esempio
Questi esempi di output JSON contengono campi comuni ai risultati di VM Threat Detection. Ogni esempio mostra solo i campi pertinenti al tipo di risultato; non fornisce un elenco esaustivo dei campi.
Puoi esportare i risultati tramite la console di Security Command Center o elencarli tramite l'API Security Command Center.
Per visualizzare i risultati di esempio, espandi uno o più dei seguenti nodi. Per informazioni su ciascun campo del rilevamento, consulta Finding
.
Defense Evasion: Rootkit
Questo esempio di output mostra il rilevamento di un rootkit in modalità kernel noto: Diamorphine.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Rootkit", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": { "name": "Diamorphine", "unexpected_kernel_code_pages": true, "unexpected_system_call_handler": true }, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected ftrace handler
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected ftrace handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected interrupt handler
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected interrupt handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel code modification
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel code modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel modules
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel modules", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kernel read-only data modification
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kernel read-only data modification", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected kprobe handler
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected kprobe handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected processes in runqueue
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected processes in runqueue", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Defense Evasion: Unexpected system call handler
(Anteprima)
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID", "category": "Defense Evasion: Unexpected system call handler", "createTime": "2023-01-12T00:39:33.007Z", "database": {}, "eventTime": "2023-01-11T21:24:05.326Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": {}, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "MEDIUM", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "project_display_name": "PROJECT_ID", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Combined
Detection
Questo esempio di output mostra una minaccia rilevata sia dai moduli
CRYPTOMINING_HASH
che CRYPTOMINING_YARA
.
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Combined Detection", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE1" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } }, { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining Hash Match
Detection
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining Hash Match", "createTime": "2023-01-05T01:40:48.994Z", "database": {}, "eventTime": "2023-01-05T01:39:36.876Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "memoryHashSignature": { "binaryFamily": "XMRig", "detections": [ { "binary": "linux-x86-64_xmrig_6.12.2", "percentPagesMatched": 1 } ] } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Execution: Cryptocurrency Mining YARA Rule
{ "findings": { "access": {}, "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Execution: Cryptocurrency Mining YARA Rule", "createTime": "2023-01-05T00:37:38.450Z", "database": {}, "eventTime": "2023-01-05T01:12:48.828Z", "exfiltration": {}, "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "YARA_RULE9" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE10" } }, { "yaraRuleSignature": { "yaraRule": "YARA_RULE25" } } ] }, "kernelRootkit": {}, "kubernetes": {}, "mitreAttack": { "version": "9" }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "processes": [ { "binary": { "path": "BINARY_PATH" }, "script": {}, "args": [ "./miner", "" ], "pid": "123", "parentPid": "456", "name": "miner" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Malware: Malicious file on disk (YARA)
{ "findings": { "assetDisplayName": "DISPLAY_NAME", "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID", "canonicalName": "projects/PROJECT_ID/sources/SOURCE_ID/findings/FINDING_ID", "category": "Malware: Malicious file on disk (YARA)", "createTime": "2023-01-05T00:37:38.450Z", "eventTime": "2023-01-05T01:12:48.828Z", "findingClass": "THREAT", "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/vmtd", "indicator": { "signatures": [ { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_4" }, "signatureType": "SIGNATURE_TYPE_FILE", }, { "yaraRuleSignature": { "yaraRule": "M_Backdoor_REDSONJA_3" }, "signatureType": "SIGNATURE_TYPE_FILE", } ] }, "mute": "UNDEFINED", "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID", "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID", "parentDisplayName": "Virtual Machine Threat Detection", "files": [ { "diskPath": { "partition_uuid": "b411dc99-f0a0-4c87-9e05-184977be8539", "relative_path": "RELATIVE_PATH" }, "size": "21238", "sha256": "65d860160bdc9b98abf72407e14ca40b609417de7939897d3b58d55787aaef69", "hashedSize": "21238" } ], "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "severity": "HIGH", "sourceDisplayName": "Virtual Machine Threat Detection", "state": "ACTIVE", "vulnerability": {}, "workflowState": "NEW" }, "resource": { "name": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_ID", "display_name": "DISPLAY_NAME", "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "project_display_name": "DISPLAY_NAME", "parent_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID", "parent_display_name": "DISPLAY_NAME", "type": "google.compute.Instance", "folders": [] }, "sourceProperties": {} }
Modificare lo stato dei risultati
Quando risolvi le minacce identificate da VM Threat Detection, il servizio non imposta automaticamente lo stato di un rilevamento su Inattivo nelle scansioni successive. A causa della natura del nostro dominio di minacce, Rilevamento minacce VM non può determinare se una minaccia è stata attenuata o è cambiata per evitare il rilevamento.
Quando i team di sicurezza ritengono che una minaccia sia stata attenuata, possono eseguire i seguenti passaggi per impostare lo stato dei risultati su inattivo.
Vai alla pagina Risultati di Security Command Center nella console Google Cloud.
Accanto a Visualizza per, fai clic su Tipo di origine.
Nell'elenco Tipo di origine, seleziona Rilevamento minacce per le macchine virtuali. Viene visualizzata una tabella con i risultati per il tipo di origine selezionato.
Seleziona la casella di controllo accanto ai risultati risolti.
Fai clic su Modifica stato attivo.
Fai clic su Non attivo.
Attivare o disattivare VM Threat Detection
Rilevamento minacce VM è abilitato per impostazione predefinita per tutti i clienti che si registrano a Security Command Center Premium dopo il 15 luglio 2022, data in cui questo servizio è diventato disponibile a livello generale. Se necessario, puoi disattivarlo o riattivarlo manualmente per il tuo progetto o la tua organizzazione.
Quando attivi il rilevamento delle minacce alle VM in un'organizzazione o un progetto, il servizio analizza automaticamente tutte le risorse supportate nell'organizzazione o nel progetto. Al contrario, se disattivi il rilevamento delle minacce VM in un'organizzazione o un progetto, il servizio interrompe l'analisi di tutte le risorse supportate al suo interno.
Per attivare o disattivare il rilevamento delle minacce per le VM:
Console
Nella console Google Cloud, vai alla pagina Abilitazione del servizio di rilevamento delle minacce per le VM.
Nella colonna Virtual Machine Threat Detection, seleziona lo stato corrente e poi una delle seguenti opzioni:
- Attiva: attiva VM Threat Detection
- Disattiva: disattiva VM Threat Detection
- Eredita: eredita lo stato di attivazione dalla cartella o dall'organizzazione principale; disponibile solo per progetti e cartelle
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organization
,folder
oproject
) -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico -
NEW_STATE
:ENABLED
per attivare VM Threat Detection;DISABLED
per disattivare VM Threat Detection; oppureINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Esegui il comando
gcloud scc manage services update
:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=NEW_STATE
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=NEW_STATE
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=NEW_STATE
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED modules: CRYPTOMINING_HASH: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CRYPTOMINING_YARA: effectiveEnablementState: ENABLED KERNEL_INTEGRITY_TAMPERING: effectiveEnablementState: ENABLED KERNEL_MEMORY_TAMPERING: effectiveEnablementState: ENABLED MALWARE_DISK_SCAN_YARA: effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico -
NEW_STATE
:ENABLED
per attivare VM Threat Detection;DISABLED
per disattivare VM Threat Detection; oppureINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=intendedEnablementState
Corpo JSON della richiesta:
{ "intendedEnablementState": "NEW_STATE" }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection", "effectiveEnablementState": "ENABLED", "modules": { "CRYPTOMINING_YARA": { "effectiveEnablementState": "ENABLED" }, "KERNEL_MEMORY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "KERNEL_INTEGRITY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "CRYPTOMINING_HASH": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "MALWARE_DISK_SCAN_YARA": { "effectiveEnablementState": "ENABLED" } }, "updateTime": "2024-08-05T22:32:01.536452397Z" }
Attivare o disattivare un modulo di rilevamento delle minacce per le VM
Per attivare o disattivare un singolo rilevatore di minacce per le VM, noto anche come modulo, procedi nel seguente modo. L'applicazione delle modifiche potrebbe richiedere fino a un'ora.
Per informazioni su tutti i risultati relativi alle minacce di Virtual Machine Threat Detection e sui moduli che li generano, consulta Risultati relativi alle minacce.
Console
La console Google Cloud ti consente di attivare o disattivare i moduli di rilevamento delle minacce VM a livello di organizzazione. Per attivare o disattivare i moduli di rilevamento delle minacce VM a livello di cartella o progetto, utilizza l'interfaccia alla gcloud CLI o l'API REST.
Nella console Google Cloud, vai alla pagina Moduli di rilevamento delle minacce per le VM.
Nella colonna Stato, seleziona lo stato corrente del modulo che vuoi attivare o disattivare e poi seleziona una delle seguenti opzioni:
- Attiva: attiva il modulo.
- Disattiva: disattiva il modulo.
gcloud
Il comando
gcloud scc manage services update
aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organization
,folder
oproject
) -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico -
MODULE_NAME
: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Risultati relativi alle minacce -
NEW_STATE
:ENABLED
per attivare il modulo;DISABLED
per disattivare il modulo; oppureINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Salva i seguenti contenuti in un file denominato request.json
:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Esegui il comando
gcloud scc manage services update
:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID \ --enablement-state=ENABLED \ --module-config-file=request.json
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID ` --enablement-state=ENABLED \ --module-config-file=request.json
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID ^ --enablement-state=ENABLED \ --module-config-file=request.json
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED modules: CRYPTOMINING_HASH: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CRYPTOMINING_YARA: effectiveEnablementState: ENABLED KERNEL_INTEGRITY_TAMPERING: effectiveEnablementState: ENABLED KERNEL_MEMORY_TAMPERING: effectiveEnablementState: ENABLED MALWARE_DISK_SCAN_YARA: effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo RESOURCE_TYPE.locations.securityCenterServices.patch
dell'API Security Command Center Management aggiorna lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da aggiornare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da aggiornare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico -
MODULE_NAME
: il nome del modulo da attivare o disattivare. Per i valori validi, consulta Risultati relativi alle minacce -
NEW_STATE
:ENABLED
per attivare il modulo;DISABLED
per disattivare il modulo; oppureINHERITED
per ereditare lo stato di attivazione della risorsa principale (valido solo per progetti e cartelle)
Metodo HTTP e URL:
PATCH https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection?updateMask=modules
Corpo JSON della richiesta:
{ "modules": { "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } } }
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection", "effectiveEnablementState": "ENABLED", "modules": { "CRYPTOMINING_YARA": { "effectiveEnablementState": "ENABLED" }, "KERNEL_MEMORY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "KERNEL_INTEGRITY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "CRYPTOMINING_HASH": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "MALWARE_DISK_SCAN_YARA": { "effectiveEnablementState": "ENABLED" } }, "updateTime": "2024-08-05T22:32:01.536452397Z" }
Visualizzare le impostazioni dei moduli Threat Detection della VM
Per informazioni su tutte le minacce rilevate da VM Threat Detection e sui moduli che le generano, consulta la tabella Minacce rilevate.
Console
La console Google Cloud ti consente di visualizzare le impostazioni per i moduli di rilevamento delle minacce VM a livello di organizzazione. Per visualizzare le impostazioni dei moduli di rilevamento delle minacce VM a livello di cartella o progetto, utilizza gcloud CLI o l'API REST.
Per visualizzare le impostazioni nella console Google Cloud, vai alla pagina Moduli di rilevamento delle minacce per le macchine virtuali.
gcloud
Il comando
gcloud scc manage services update
recupera lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da recuperare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
Salva i seguenti contenuti in un file denominato request.json
:
{ "MODULE_NAME": { "intendedEnablementState": "NEW_STATE" } }
Esegui il comando
gcloud scc manage services update
:
Linux, macOS o Cloud Shell
gcloud scc manage services update vm-threat-detection \ --RESOURCE_TYPE=RESOURCE_ID
Windows (PowerShell)
gcloud scc manage services update vm-threat-detection ` --RESOURCE_TYPE=RESOURCE_ID
Windows (cmd.exe)
gcloud scc manage services update vm-threat-detection ^ --RESOURCE_TYPE=RESOURCE_ID
Dovresti ricevere una risposta simile alla seguente:
effectiveEnablementState: ENABLED modules: CRYPTOMINING_HASH: effectiveEnablementState: ENABLED intendedEnablementState: ENABLED CRYPTOMINING_YARA: effectiveEnablementState: ENABLED KERNEL_INTEGRITY_TAMPERING: effectiveEnablementState: ENABLED KERNEL_MEMORY_TAMPERING: effectiveEnablementState: ENABLED MALWARE_DISK_SCAN_YARA: effectiveEnablementState: ENABLED name: projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection updateTime: '2024-08-05T22:32:01.536452397Z'
REST
Il metodo
RESOURCE_TYPE.locations.securityCenterServices.get
dell'API di gestione di Security Command Center recupera lo stato di un servizio o modulo di Security Command Center.
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
RESOURCE_TYPE
: il tipo di risorsa da recuperare (organizations
,folders
oprojects
) -
QUOTA_PROJECT
: l'ID progetto da utilizzare per la fatturazione e il monitoraggio della quota -
RESOURCE_ID
: l'identificatore numerico dell'organizzazione, della cartella o del progetto da recuperare. Per i progetti, puoi anche utilizzare l'ID progetto alfanumerico
Metodo HTTP e URL:
GET https://securitycentermanagement.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/securityCenterServices/vm-threat-detection
Per inviare la richiesta, espandi una di queste opzioni:
Dovresti ricevere una risposta JSON simile alla seguente:
{ "name": "projects/1234567890123/locations/global/securityCenterServices/vm-threat-detection", "effectiveEnablementState": "ENABLED", "modules": { "CRYPTOMINING_YARA": { "effectiveEnablementState": "ENABLED" }, "KERNEL_MEMORY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "KERNEL_INTEGRITY_TAMPERING": { "effectiveEnablementState": "ENABLED" }, "CRYPTOMINING_HASH": { "intendedEnablementState": "ENABLED", "effectiveEnablementState": "ENABLED" }, "MALWARE_DISK_SCAN_YARA": { "effectiveEnablementState": "ENABLED" } }, "updateTime": "2024-08-05T22:32:01.536452397Z" }
Nomi di software e regole YARA per il rilevamento del mining di criptovalute
Gli elenchi seguenti includono i nomi dei file binari e delle regole YARA che attivano i risultati relativi all'estrazione di criptovalute. Per visualizzare gli elenchi, espandi i nodi.
Execution: Cryptocurrency Mining Hash Match
- Arionum CPU miner: software di mining per la criptovaluta Arionum
- Avermore: software di mining per criptovalute basate su Scrypt
- Beam CUDA miner: software di mining per criptovalute basate su Equihash
- Beam OpenCL miner: software di mining per criptovalute basate su Equihash
- BFGMiner: software di mining basato su ASIC/FPGA per Bitcoin
- BMiner: software di mining per varie criptovalute
- Cast XMR: software di mining per criptovalute basate su CryptoNight
- ccminer: software di mining basato su CUDA
- cgminer: software di mining basato su ASIC/FPGA per Bitcoin
- Claymore's miner: software di mining basato su GPU per varie criptovalute
- CPUMiner: famiglia di software di mining basati su CPU
- CryptoDredge: famiglia di software di mining per CryptoDredge
- CryptoGoblin: software di mining per criptovalute basate su CryptoNight
- DamoMiner: software di mining basato su GPU per Ethereum e altre criptovalute
- DigitsMiner: software di mining per Digits
- EasyMiner: software di mining per Bitcoin e altre criptovalute
- Ethminer: software per l'estrazione di Ethereum e altre criptovalute
- EWBF: software di mining per criptovalute basate su Equihash
- FinMiner: software di mining per criptovalute basate su Ethash e CryptoNight
- Funakoshi Miner: software di mining per le criptovalute Bitcoin-Gold
- Geth: software per il mining di Ethereum
- GMiner: software di mining per varie criptovalute
- gominer: software per il mining di Decred
- GrinGoldMiner: software di mining per Grin
- Hush: software di mining per criptovalute basate su Zcash
- IxiMiner: software per il mining di Ixian
- kawpowminer: software per il mining di Ravencoin
- Komodo: famiglia di software di mining per Komodo
- lolMiner: software di mining per varie criptovalute
- lukMiner: software di mining per varie criptovalute
- MinerGate: software di mining per varie criptovalute
- miniZ: software di mining per criptovalute basate su Equihash
- Mirai: malware che può essere utilizzato per minare criptovalute
- MultiMiner: software di mining per varie criptovalute
- nanominer: software di mining per varie criptovalute
- NBMiner: software di mining per varie criptovalute
- Nevermore: software di mining per varie criptovalute
- nheqminer: software per il mining per NiceHash
- NinjaRig: software di mining per criptovalute basate su Argon2
- NodeCore PoW CUDA Miner: software per il mining per VeriBlock
- NoncerPro: software di mining per Nimiq
- Optiminer/Equihash: software per il mining di criptovalute basate su Equihash
- PascalCoin: famiglia di software di mining per PascalCoin
- PhoenixMiner: software di mining per Ethereum
- Pooler CPU Miner: software di mining per Litecoin e Bitcoin
- ProgPoW Miner: software di mining per Ethereum e altre criptovalute
- rhminer: software per il mining di PascalCoin
- sgminer: software di mining per criptovalute basate su Scrypt
- simplecoin: famiglia di software di mining per SimpleCoin basato su Scrypt
- Skypool Nimiq Miner: software per il mining di Nimiq
- SwapReferenceMiner: software di mining per Grin
- Team Red Miner: software di mining basato su AMD per varie criptovalute
- T-Rex: software di mining per varie criptovalute
- TT-Miner: software di mining per varie criptovalute
- Ubqminer: software di mining per criptovalute basate su Ubqhash
- VersusCoin: software per il mining di VersusCoin
- violetminer: software di mining per criptovalute basate su Argon2
- webchain-miner: software per il mining per MintMe
- WildRig: software di mining per varie criptovalute
- XCASH_ALL_Miner: software per l'estrazione di XCASH
- xFash: software di mining per MinerGate
- XLArig: software di mining per criptovalute basate su CryptoNight
- XMRig: software di mining per varie criptovalute
- Xmr-Stak: software di mining per criptovalute basate su CryptoNight
- XMR-Stak TurtleCoin: software di mining per criptovalute basate su CryptoNight
- Xtl-Stak: software di mining per criptovalute basate su CryptoNight
- Yam Miner: software di mining per MinerGate
- YCash: software di mining per YCash
- ZCoin: software per il mining di ZCoin/Fire
- Zealot/Enemy: software di mining per varie criptovalute
- Indicatore di miner di criptovaluta1
1 Questo nome generico della minaccia indica che un minatore di criptovalute sconosciuto potrebbe essere in funzione nella VM, ma Virtual Machine Threat Detection non dispone di informazioni specifiche sul minatore.
Execution: Cryptocurrency Mining YARA Rule
- YARA_RULE1: corrisponde al software di mining per Monero
- YARA_RULE9: corrisponde al software di mining che utilizza la crittografia Blake2 e AES
- YARA_RULE10: corrisponde al software di mining che utilizza la routine di prova del lavoro CryptoNight.
- YARA_RULE15: corrisponde al software di mining per NBMiner
- YARA_RULE17: corrisponde al software di mining che utilizza la routine di prova del lavoro Scrypt
- YARA_RULE18: corrisponde al software di mining che utilizza la routine di prova del lavoro Scrypt
- YARA_RULE19: corrisponde al software di mining per BFGMiner
- YARA_RULE24: corrisponde al software di mining per XMR-Stak
- YARA_RULE25: corrisponde al software di mining per XMRig
- DYNAMIC_YARA_RULE_BFGMINER_2: corrisponde al software di mining per BFGMiner
Passaggi successivi
- Scopri di più su VM Threat Detection.
- Scopri come esaminare i risultati di Virtual Machine Threat Detection.