Ejecución: Regla de YARA para la minería de criptomonedas

En este documento, se describe un tipo de resultado de amenazas en Security Command Center. Los detectores de amenazas generan resultados de amenazas cuando detectan una amenaza potencial en tus recursos de Cloud. Para obtener una lista completa de los resultados de amenazas disponibles, consulta el Índice de resultados de amenazas.

Descripción general

VM Threat Detection detectó actividades de minería de criptomonedas a través de la coincidencia de patrones de memoria, como las constantes de prueba de trabajo, que el software de minería de criptomonedas usa.

Cómo responder

Para responder a este hallazgo, haz lo siguiente:

Paso 1: Revisa los detalles del hallazgo

1. Abre un hallazgo de Execution: Cryptocurrency Mining YARA Rule, como se indica en Revisa los hallazgos. Se abre el panel de detalles para el hallazgo en la pestaña Resumen.

2. En la pestaña Resumen, revisa la información de las siguientes secciones:

   • Qué se detectó, especialmente los siguientes campos:

     • Nombre de la regla de YARA: Es la regla que se activa para los detectores de YARA.
     • Programa binario: Es la ruta de acceso absoluta del proceso.
     • Arguments: Son los argumentos proporcionados cuando se invoca el objeto binario del proceso.
     • Nombres de procesos: Son los nombres de los procesos que se ejecutan en la instancia de VM asociada con las coincidencias de firmas detectadas.

     VM Threat Detection puede reconocer compilaciones de kernel de las principales distribuciones de Linux. Si puede reconocer la compilación del kernel de la VM afectada, puede identificar los detalles del proceso de la aplicación y completar el campo processes del hallazgo. Si VM Threat Detection no puede reconocer el kernel (por ejemplo, si el kernel se compiló de forma personalizada), no se completará el campo processes del hallazgo.

   • Recurso afectado, en especial los siguientes campos:

     • Nombre completo del recurso: Es el nombre completo del recurso de la instancia de VM afectada, incluido el ID del proyecto que la contiene.

   • Vínculos relacionados, en especial los siguientes campos:

     • URI de Cloud Logging: Es el vínculo a las entradas de Logging.
     • Método MITRE ATT&CK: Vínculo a la documentación de MITRE ATT&CK.
     • Resultados relacionados: Vínculos a los resultados relacionados
     • Indicador de VirusTotal: Vínculo a la página de análisis de VirusTotal

3. Para ver el JSON completo de este hallazgo, en la vista de detalles del hallazgo, haz clic en la pestaña JSON.

Paso 2: Comprueba los registros

1. En la consola de Google Cloud , ve al Explorador de registros.

   Ir al Explorador de registros

2. En la barra de herramientas de la consola de Google Cloud , selecciona el proyecto que contiene la instancia de VM, como se especifica en la fila Nombre completo del recurso de la pestaña Resumen de los detalles del hallazgo.

3. Revisa los registros para detectar señales de intrusión en la instancia de VM afectada. Por ejemplo, verifica si hay actividades sospechosas o desconocidas, y si hay indicios de credenciales vulneradas.

Paso 3: Revisa los permisos y la configuración

1. En la pestaña Resumen de los detalles del hallazgo, haz clic en el vínculo del campo Nombre completo del recurso.
2. Revisa los detalles de la instancia de VM, incluida la configuración de red y acceso.

Paso 4: Investiga los métodos de ataque y respuesta

1. Revisa las entradas del framework de MITRE ATT&CK para Execution.
2. Para desarrollar un plan de respuesta, combina los resultados de la investigación con la investigación del MITRE.

Paso 5: Implementa tu respuesta

El siguiente plan de respuesta podría ser adecuado para este hallazgo, pero también podría afectar las operaciones. Evalúa con cuidado la información que recopilas en tu investigación para determinar la mejor manera de resolver los resultados.

Para ayudar con la detección y la eliminación, usa una solución de detección y respuesta de extremos.

1. Comunícate con el propietario de la VM.

2. Confirma si la aplicación es de minería:

   • Si están disponibles el nombre del proceso y la ruta binaria de la aplicación detectada, considera los valores de las filas Binario del programa, Argumentos y Nombres del proceso en la pestaña Resumen de los detalles del hallazgo en tu investigación.

   • Examina los procesos en ejecución, en especial los que tienen un uso elevado de CPU, para ver si hay alguno que no reconozcas. Determina si las aplicaciones asociadas son aplicaciones de minería.

   • Busca en los archivos del almacenamiento cadenas comunes que usan las aplicaciones de minería, como btc.com, ethminer, xmrig, cpuminer y randomx. Para obtener más ejemplos de cadenas que puedes buscar, consulta Nombres de software y reglas de YARA y la documentación relacionada de cada software que se menciona.

3. Si determinas que la aplicación es de minería y su proceso aún se está ejecutando, finalízalo. Ubica el archivo binario ejecutable de la aplicación en el almacenamiento de la VM y bórralo.

4. Si es necesario, detén la instancia comprometida y reemplázala por una nueva.

¿Qué sigue?

• Obtén más información para trabajar con los hallazgos de amenazas en Security Command Center.
• Consulta el Índice de resultados de amenazas.
• Obtén información para revisar un hallazgo a través de la consola de Google Cloud .
• Obtén más información sobre los servicios que generan hallazgos de amenazas.