Ejecución: regla de YARA de minería de criptomonedas

En este documento se describe un tipo de hallazgo de amenazas en Security Command Center. Los hallazgos de amenazas los generan los detectores de amenazas cuando detectan una amenaza potencial en tus recursos de la nube. Para ver una lista completa de las detecciones de amenazas disponibles, consulta el índice de detecciones de amenazas.

Información general

VM Threat Detection ha detectado actividades de minería de criptomonedas al identificar patrones de memoria, como constantes de prueba de trabajo, que se sabe que utiliza el software de minería de criptomonedas.

Cómo responder

Para responder a esta observación, sigue estos pasos:

Paso 1: Revisa los detalles de la detección

1. Abre un resultado de Execution: Cryptocurrency Mining YARA Rule siguiendo las instrucciones de la sección Revisar resultados. Se abre el panel de detalles del resultado en la pestaña Resumen.

2. En la pestaña Resumen, consulte la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:

     • Nombre de regla de YARA: la regla que se ha activado para los detectores de YARA.
     • Binario del programa: la ruta absoluta del proceso.
     • Argumentos: los argumentos proporcionados al invocar el archivo binario del proceso.
     • Nombres de los procesos: el nombre de los procesos que se ejecutan en la instancia de VM asociada a las coincidencias de firmas detectadas.

     VM Threat Detection puede reconocer compilaciones de kernel de las principales distribuciones de Linux. Si puede reconocer la compilación del kernel de la VM afectada, puede identificar los detalles del proceso de la aplicación y rellenar el campo processes del hallazgo. Si Detección de amenazas de VM no puede reconocer el kernel (por ejemplo, si el kernel es personalizado), el campo processes del hallazgo no se rellena.

   • Recurso afectado, especialmente los siguientes campos:

     • Nombre completo del recurso: el nombre completo del recurso de la instancia de VM afectada, incluido el ID del proyecto que la contiene.

   • Enlaces relacionados, especialmente los siguientes campos:

     • URI de Cloud Logging: enlace a las entradas de registro.
     • Método MITRE ATT&CK: enlace a la documentación de MITRE ATT&CK.
     • Hallazgos relacionados: enlaces a los hallazgos relacionados.
     • Indicador de VirusTotal: enlace a la página de análisis de VirusTotal.

3. Para ver el JSON completo de este resultado, en la vista de detalles del resultado, haga clic en la pestaña JSON.

Paso 2: Consulta los registros

1. En la Google Cloud consola, ve a Explorador de registros.

   Ir a Explorador de registros

2. En la Google Cloud barra de herramientas de la consola, selecciona el proyecto que contiene la instancia de VM, tal como se especifica en la fila Nombre completo del recurso de la pestaña Resumen de los detalles de la detección.

3. Consulta los registros para detectar signos de intrusión en la instancia de VM afectada. Por ejemplo, comprueba si hay actividades sospechosas o desconocidas y si hay indicios de que se han vulnerado las credenciales.

Paso 3: Revisa los permisos y la configuración

1. En la pestaña Resumen de los detalles de la detección, haga clic en el enlace del campo Nombre completo del recurso.
2. Revisa los detalles de la instancia de VM, incluidos los ajustes de red y acceso.

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework ATT&CK de MITRE para Ejecución.
2. Para desarrollar un plan de respuesta, combina los resultados de tu investigación con la investigación de MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta puede ser adecuado para este resultado, pero también puede afectar a las operaciones. Evalúa detenidamente la información que recojas en tu investigación para determinar la mejor forma de resolver los resultados.

Para facilitar la detección y la eliminación, utiliza una solución de detección y respuesta de endpoints.

1. Ponte en contacto con el propietario de la máquina virtual.

2. Confirma si la aplicación es una aplicación de minería:

   • Si están disponibles el nombre del proceso y la ruta binaria de la aplicación detectada, consulta los valores de las filas Binario del programa, Argumentos y Nombres de proceso de la pestaña Resumen de los detalles de la detección en tu investigación.

   • Examina los procesos en ejecución, sobre todo los que tienen un uso elevado de la CPU, para ver si hay alguno que no reconozcas. Determina si las aplicaciones asociadas son aplicaciones de minería.

   • Busca en los archivos del almacenamiento cadenas comunes que usen las aplicaciones de minería, como btc.com, ethminer, xmrig, cpuminer y randomx. Para ver más ejemplos de cadenas que puedes buscar, consulta Nombres de software y reglas YARA y la documentación relacionada de cada software.

3. Si determinas que la aplicación es una aplicación de minería y su proceso sigue en ejecución, finaliza el proceso. Busca el archivo ejecutable de la aplicación en el almacenamiento de la VM y elimínalo.

4. Si es necesario, detén la instancia vulnerada y sustitúyela por una nueva.

Siguientes pasos

• Consulta cómo trabajar con las detecciones de amenazas en Security Command Center.
• Consulta el índice de hallazgos de amenazas.
• Consulta cómo revisar un resultado a través de la consola Google Cloud .
• Consulta información sobre los servicios que generan detecciones de amenazas.